Controles CSPM de Security Hub para Amazon EC2

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Elastic Compute Cloud (Amazon EC2). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (11) NIST.800-53.r5 AC-3, (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20), (21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoría: Proteger - Configuración de red segura

Gravedad: crítica

Tipo de recurso: AWS::::Account

Regla de AWS Config : ebs-snapshot-public-restorable-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si las instantáneas de Amazon Elastic Block Store no son públicas. El control falla si cualquier persona puede restaurar las instantáneas de Amazon EBS.

Las instantáneas de EBS se utilizan para hacer una copia de seguridad de los datos de sus volúmenes de EBS en Amazon S3 en un momento específico. Puede utilizar las instantáneas para restaurar estados anteriores de volúmenes de EBS. Rara vez es aceptable compartir una instantánea con el público. Por lo general, la decisión de compartir una instantánea públicamente se toma por error o sin una comprensión completa de las consecuencias. Esta comprobación ayuda a garantizar que todos esos intercambios se planificaron y son intencionados.

Corrección

Para hacer privada una instantánea de EBS pública, consulte Compartir una instantánea en la Guía del usuario de Amazon EC2. En Acciones, Modificar permisos, seleccione Privado.

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente

Requisitos relacionados: CIS AWS Foundations Benchmark v5.0.0/5.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, CIS Foundations Benchmark v1.2.0/4.3, CIS Foundations Benchmark v1.4.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.4,, (21), (11), (16), (21), (21), (16), (21), (21), (16), (21), (21), (16), (21), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (21), (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), (21), NIST.800-53.r5 SC-7 (16), (21), NIST.800-53.r5 SC-7 (21), (16), NIST.800-53.r5 SC-7 (21), (21)) AWS AWS

Categoría: Proteger - Configuración de red segura

Gravedad: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config : vpc-default-security-group-closed

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba que el grupo de seguridad predeterminado de una VPC permita el tráfico entrante o saliente. El control falla si el grupo de seguridad permite el tráfico entrante o saliente.

Las reglas del grupo de seguridad predeterminado permiten todo el tráfico saliente y entrante de las interfaces de red (y de sus instancias asociadas) asignadas al mismo grupo de seguridad. Le recomendamos que no utilice el grupo de seguridad predeterminado. Dado que el grupo de seguridad predeterminado no se puede eliminar, debería cambiar la configuración de reglas de grupo de seguridad predeterminada para restringir el tráfico entrante y saliente. Esto evita el tráfico no deseado si el grupo de seguridad predeterminado se configura accidentalmente para recursos como instancias EC2.

Corrección

Para solucionar este problema, comience por crear nuevos grupos de seguridad con privilegios mínimos. Para obtener instrucciones, consulte Crear un grupo de seguridad en la Guía del usuario de Amazon VPC. A continuación, asigne los nuevos grupos de seguridad a sus instancias de EC2. Para conocer las instrucciones, consulte Cambiar un grupo de seguridad de una instancia en la Guía del usuario de Amazon EC2.

Tras asignar los nuevos grupos de seguridad a sus recursos, elimine todas las reglas de entrada y salida de los grupos de seguridad predeterminados. Para conocer las instrucciones, consulte Configuración de las reglas de un grupo de seguridad en la Guía del usuario de Amazon VPC.

[EC2.3] Los volúmenes de Amazon EBS asociados deben cifrarse en reposo

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIst.800-53.r5 SI-7 (6)

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::EC2::Volume

Regla de AWS Config : encrypted-volumes

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los volúmenes de EBS asociados están cifrados. Para superar esta comprobación, los volúmenes de EBS deben tener el estado de uso y estar cifrados. Si el volumen de EBS no está asociado, entonces no estará en el alcance de esta comprobación.

Para obtener una capa adicional de seguridad de la información confidencial en volúmenes de EBS, debe habilitar el cifrado de EBS en reposo. Amazon EBS ofrece una solución de cifrado sencilla para los recursos de EBS que no precisa que cree, mantenga y proteja su propia infraestructura de administración de claves. Utiliza claves CMK al crear volúmenes cifrados e instantáneas.

Para obtener más información acerca del cifrado de Amazon EBS, consulte Cifrado de Amazon EBS en la Guía del usuario de Amazon EC2.

Corrección

No existe una forma directa para cifrar un volumen o una instantánea sin cifrar existente. Solo puede cifrar un nuevo volumen o instantánea al crearlo.

Si ha habilitado el cifrado de forma predeterminada, Amazon EBS cifra el nuevo volumen o la instantánea resultante utilizando la clave predeterminada para el cifrado de Amazon EBS. Aunque no haya habilitado el cifrado de forma predeterminada, puede habilitarlo al crear un volumen o una instantánea individuales. En ambos casos, puede anular la clave predeterminada para el cifrado de Amazon EBS y elegir una clave administrada por el cliente simétrica.

Para obtener más información, consulte Creación de un volumen de Amazon EBS y Copia de una instantánea de Amazon EBS en la Guía del usuario de Amazon EC2.

[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NIst.800-53.r5 CM-2 (2)

Categoría: Identificar - Inventario

Gravedad: media

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config : ec2-stopped-instance

Tipo de programa: Periódico

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`AllowedDays`	Cantidad de días que se permite que la instancia de EC2 permanezca detenida antes de generar un resultado con errores.	Entero	De `1` a `365`	`30`

Este control comprueba si una instancia de Amazon EC2 ha estado detenida durante más días de lo permitido. Se produce un error en el control si una instancia de EC2 se detiene durante más tiempo que el máximo permitido. A menos que proporcione un valor de parámetro personalizado para el período de tiempo máximo permitido, el CSPM de Security Hub utiliza un valor predeterminado de 30 días.

Cuando una instancia de EC2 no se ha ejecutado durante un periodo significativo, se crea un riesgo de seguridad porque la instancia no se mantiene de manera activa (se analiza, se le aplican parches o se actualiza). Si se lanza más adelante, la falta de un mantenimiento adecuado podría provocar problemas inesperados en su AWS entorno. Para mantener segura una instancia de EC2 a lo largo del tiempo en un estado inactivo, iníciela de manera periódica para hacer tareas de mantenimiento y deténgala después del mantenimiento. Lo ideal es que se tratara de un proceso automatizado.

Corrección

Para terminar una instancia de EC2 inactiva, consulte Terminación de una instancia en la Guía del usuario de Amazon EC2.

[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs

Requisitos relacionados: CIS AWS Foundations Benchmark v5.0.0/3.7, CIS Foundations Benchmark v1.2.0/2.9, CIS AWS Foundations Benchmark v1.4.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.7, NIST.800-53.r5 AC-4 (26),, NIst.800-53.r5 SI-7 (8), NISt.800-171.r2 3.1.20, NISt.800-171.r2 3.3.1 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NISt.800-171.R2 3.13.1, PCI AWS DSS 3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::EC2::VPC

Regla de AWS Config : vpc-flow-logs-enabled

Tipo de programa: Periódico

Parámetros:

trafficType: REJECT (no personalizable)

Este control comprueba si los registros de flujo de Amazon VPC se encuentran y están activados. VPCs El tipo de tráfico se ha establecido como Reject. El control falla si los registros de flujo de VPC no están habilitados VPCs en su cuenta.

nota

Este control no comprueba si los registros de flujo de Amazon VPC están habilitados a través de Amazon Security Lake para la Cuenta de AWS.

Con la característica de VPC Flow Logs, puede utilizar los registros de flujo de la VPC para capturar información sobre el tráfico de direcciones IP entrante y saliente de las interfaces de red de su VPC. Después de crear un registro de flujo, puede ver y recuperar sus datos en los CloudWatch registros. Para reducir los costos, también puede enviar los registros de flujo a Amazon S3.

Security Hub (CSPM) recomienda habilitar el registro de flujo para los paquetes rechazados. VPCs Los registros de flujo proporcionan visibilidad del tráfico de red que atraviesa la VPC y pueden detectar tráfico anómalo o brindar información durante los flujos de trabajo de seguridad.

De forma predeterminada, el registro incluye valores para los distintos componentes del flujo de dirección IP, incluido el origen, el destino y el protocolo. Para obtener más información y descripciones de los campos de registro, consulte Registros de flujo de VPC en la Guía del usuario de Amazon VPC.

Corrección

Para crear un registro de flujo de VPC, consulte Crear un registro de flujo en la Guía del usuario de Amazon VPC. Tras abrir la consola de Amazon VPC, selecciona Your. VPCs En Filtro, elija Rechazar o Todos.

[EC2.7] El cifrado predeterminado de EBS debe estar activado

Requisitos relacionados: CIS AWS Foundations Benchmark v5.0.0/5.1.1, CIS AWS Foundations Benchmark v1.4.0/2.2.1, CIS Foundations Benchmark v3.0.0/2.2.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6) AWS NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : ec2-ebs-encryption-by-default

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si el cifrado a nivel de cuenta está habilitado de forma predeterminada para los volúmenes de Amazon Elastic Block Store (Amazon EBS). El control falla si el cifrado a nivel de cuenta no está habilitado para los volúmenes de EBS.

Cuando el cifrado está activado en su cuenta, los volúmenes de Amazon EBS y las copias instantáneas se cifran en reposo. Esto agrega una capa adicional de protección para sus datos. Para obtener más información, consulte Cifrado de forma predeterminada en la Guía del usuario de Amazon EC2.

Corrección

Para configurar el cifrado predeterminado para los volúmenes de Amazon EBS, consulte Cifrado predeterminado en la Guía del usuario de Amazon EC2.

[EC2.8] Las instancias EC2 deben usar la versión 2 () del servicio de metadatos de instancias IMDSv2

Requisitos relacionados: CIS AWS Foundations Benchmark v5.0.0/5.7, CIS AWS Foundations Benchmark v3.0.0/5.6, NIST.800-53.r5 AC-3 (15), (7) NIST.800-53.r5 AC-3, PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

Categoría: Proteger > Seguridad de red

Gravedad: alta

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config : ec2-imdsv2-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si la versión de metadatos de la instancia EC2 está configurada con la versión 2 () del servicio de metadatos de la instancia. IMDSv2 El control pasa si HttpTokens está configurado como necesario para IMDSv2. El control tiene errores si HttpTokens está configurado como optional,

Utiliza metadatos de instancia para configurar o administrar la instancia en ejecución. El IMDS proporciona acceso a credenciales temporales que se rotan con frecuencia. Estas credenciales eliminan la necesidad de codificar o distribuir credenciales confidenciales a las instancias de forma manual o programática. El IMDS se conecta localmente a todas las instancias de EC2. Se ejecuta en una dirección IP de «enlace local» de 169.254.169.254. Solo el software que se ejecuta en la instancia puede acceder a esta dirección IP.

La versión 2 del IMDS añade nuevas protecciones para los siguientes tipos de vulnerabilidades. Estas vulnerabilidades podrían utilizarse para intentar acceder al IMDS.

Abra firewalls de aplicaciones de sitios web
Abra proxies inversos
Vulnerabilidades de falsificación de solicitudes del servidor (SSRF)
Firewalls de capa 3 abiertos y traducción de direcciones de red (NAT)

Security Hub CSPM recomienda configurar las instancias EC2 con. IMDSv2

Corrección

Para configurar las instancias EC2 con IMDSv2, consulte Ruta recomendada para requerir IMDSv2 en la Guía del usuario de Amazon EC2.

[EC2.9] Las instancias de Amazon EC2 no deben tener una dirección pública IPv4

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)

Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente

Gravedad: alta

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config : ec2-instance-no-public-ip

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si las instancias EC2 tienen una dirección IP pública. El control falla si el campo publicIp está presente en el elemento de configuración de instancia EC2. Este control se aplica únicamente a IPv4 las direcciones.

Una dirección IPv4 pública es una dirección IP a la que se puede tener acceso desde Internet. Si lanza la instancia con una dirección IP pública, se puede obtener acceso a la instancia de EC2 desde Internet. Una dirección IPv4 privada es una dirección IP a la que no se puede obtener acceso desde Internet. Puede utilizar direcciones IPv4 privadas para la comunicación entre las instancias EC2 de una misma VPC o en su red privada conectada.

IPv6 las direcciones son únicas a nivel mundial y, por lo tanto, se puede acceder a ellas desde Internet. Sin embargo, de forma predeterminada, todas las subredes tienen el atributo de IPv6 direccionamiento establecido en false. Para obtener más información IPv6, consulte el direccionamiento IP en su VPC en la Guía del usuario de Amazon VPC.

Si tiene un caso de uso legítimo para mantener las instancias de EC2 con direcciones IP públicas, puede ocultar los resultados de este control. Para obtener más información sobre las opciones de arquitectura de front-end, consulte el blog de AWS arquitectura o la serie AWS de vídeos This Is My Architecture.

Corrección

Utilice una VPC no predeterminada para que no se le asigne a su instancia una dirección IP pública de forma predeterminada.

Cuando se lanza una instancia EC2 en una VPC predeterminada, se le asigna una dirección IP pública. Al lanzar una instancia EC2 en una VPC no predeterminada, la configuración de subred determina si recibe una dirección IP pública. La subred tiene un atributo para determinar si las nuevas instancias de EC2 de la subred reciben una dirección IP pública del conjunto de direcciones públicas. IPv4

Puede desvincular una dirección IP pública asignada de manera automática de su instancia de EC2. Para obtener más información, consulte IPv4 Direcciones públicas y nombres de host DNS externos en la Guía del usuario de Amazon EC2.

[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2

Requisitos relacionados: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIst.800-171.r2 3.1.3, NIst.800-171.r2 3.13.1

Categoría: Proteger > Configuración de red segura > Acceso privado a la API

Gravedad: media

Tipo de recurso: AWS::EC2::VPC

Regla de AWS Config : service-vpc-endpoint-enabled

Tipo de programa: Periódico

Parámetros:

serviceName: ec2 (no personalizable)

Este control comprueba si se ha creado un punto de conexión de servicio para Amazon EC2 para cada VPC. El control falla si una VPC no tiene un punto de conexión de VPC creado para el servicio Amazon EC2.

Este control evalúa los recursos en una sola cuenta. No puede describir los recursos que están fuera de la cuenta. Dado que AWS Config Security Hub CSPM no realiza comprobaciones cruzadas entre cuentas, verá VPCs que FAILED los resultados se comparten entre cuentas. Security Hub CSPM recomienda que suprima estos FAILED hallazgos.

Para mejorar la posición de seguridad de su VPC, puede configurar Amazon EC2 para que utilice un punto de conexión de VPC de interfaz. Los puntos de enlace de la interfaz funcionan con una tecnología que le permite acceder a las operaciones de la API de Amazon EC2 de forma privada. AWS PrivateLink Restringe todo el tráfico de red entre su VPC y Amazon EC2 a la red de Amazon. Dado que los puntos de conexión solo se admiten dentro de la misma región, no se puede crear un punto de conexión entre una VPC y un servicio de otra región. Esto evita las llamadas no deseadas a la API de Amazon EC2 a otras regiones.

Para obtener más información acerca de cómo crear puntos de conexión de VPC para Amazon EC2, consulte Amazon EC2 y puntos de conexión de VPC de interfaz en la Guía del usuario de Amazon EC2.

Corrección

Para crear un punto de conexión de interfaz para Amazon EC2 desde la consola de Amazon VPC, consulte Crear un punto de conexión de VPC en la Guía de AWS PrivateLink . En Nombre del servicio, elija com.amazonaws. region.ec2.

También puede crear y asociar una política de punto de conexión a su punto de conexión de VPC para controlar el acceso a la API de Amazon EC2. Para obtener instrucciones sobre cómo crear una política de punto de conexión de VPC, consulte Creación de una política de punto de conexión en la Guía del usuario de Amazon EC2.

[EC2.12] Debe quitarse la Amazon EIPs EC2 no utilizada

Requisitos relacionados: PCI DSS v3.2.1/2.4, NISt.800-53.r5 CM-8 (1)

Categoría: Proteger - Configuración de red segura

Gravedad: baja

Tipo de recurso: AWS::EC2::EIP

Regla de AWS Config : eip-attached

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si las direcciones IP elásticas (EIP) que se asignan a una VPC están conectadas a instancias EC2 o a interfaces de red elásticas en uso (). ENIs

Si se detecta un error, es posible que el EC2 no se utilice. EIPs

Esto le ayudará a mantener un inventario preciso de los activos de su entorno EIPs de datos de titulares de tarjetas (CDE).

Corrección

Para lanzar una EIP que no está en uso, consulte Lanzamiento de una dirección IP elástica en la Guía del usuario de Amazon EC2.

[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/4.1, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (11) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (21), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NISt.800-171.r2 3.1.3, NISt.800-171.r2 3.13.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2, PCI DSS SS v4.0.1/1.3.1

Categoría: Proteger - Configuración de red segura

Gravedad: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config : restricted-ssh

Tipo de programa: activado por cambios y periódico

Parámetros: ninguno

Este control comprueba si un grupo de seguridad de Amazon EC2 permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 22. Se produce un error en el control si el grupo de seguridad permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 22.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . Recomendamos que ningún grupo de seguridad permita el acceso de entrada ilimitado al puerto 22. La eliminación de la conectividad libre a los servicios de la consola a distancia, como SSH, reduce la exposición al riesgo del servidor.

Corrección

Para prohibir la entrada al puerto 22, elimine la regla que permite dicho acceso a cada grupo de seguridad asociado a una VPC. Para obtener instrucciones, consulte Actualización de las reglas de un grupo de seguridad en la Guía del usuario de Amazon EC2. Después de seleccionar un grupo de seguridad en la consola de Amazon EC2, elija Acciones y editar reglas de entrada. Elimine la regla que permite el acceso al puerto 22.

[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/4.2, PCI DSS v4.0.1/1.3.1

Categoría: Proteger - Configuración de red segura

Gravedad: alta

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regla restricted-common-ports: (restricted-rdpla regla creada es)

Tipo de programa: activado por cambios y periódico

Parámetros: ninguno

Este control comprueba si un grupo de seguridad de Amazon EC2 permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389. Se produce un error en el control si el grupo de seguridad permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . Recomendamos que ningún grupo de seguridad permita el acceso de entrada ilimitado al puerto 3389. La eliminación de la conectividad libre a los servicios de la consola a distancia, como RDP, reduce la exposición al riesgo del servidor.

Corrección

Para prohibir la entrada al puerto 3389, elimine la regla que permite dicho acceso a cada grupo de seguridad asociado a una VPC. Para obtener instrucciones, consulte Actualizar reglas del grupo de seguridad en la Guía del usuario de Amazon VPC. Tras seleccionar un grupo de seguridad en la consola de Amazon VPC, elija Acciones y editar reglas de entrada. Elimine la regla que permite el acceso al puerto 3389.

[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

Categoría: Proteger > Seguridad de red

Gravedad: media

Tipo de recurso: AWS::EC2::Subnet

Regla de AWS Config : subnet-auto-assign-public-ip-disabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una subred de Amazon Virtual Private Cloud (Amazon VPC) está configurada para asignar automáticamente direcciones IP públicas. El control falla si la subred está configurada para asignar automáticamente direcciones públicas IPv4 o direcciones. IPv6

Las subredes tienen atributos que determinan si las interfaces de red reciben automáticamente direcciones IPv4 y IPv6 direcciones públicas. Para IPv4, este atributo está configurado como TRUE para las subredes predeterminadas y FALSE para las subredes no predeterminadas (con la excepción de las subredes no predeterminadas creadas mediante el asistente de lanzamiento de instancias de EC2, donde está configurado en). TRUE Para IPv6, este atributo se establece en para todas las subredes de forma predeterminadaFALSE. Cuando estos atributos están habilitados, las instancias lanzadas en la subred reciben automáticamente las direcciones IP (IPv4 o IPv6) correspondientes en su interfaz de red principal.

Corrección

Para configurar una subred para que no asigne direcciones IP públicas, consulte Modificación de los atributos de direccionamiento IP de la subred en la Guía del usuario de Amazon VPC.

[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas

Requisitos relacionados: NIST.800-53.r5 CM-8(1), NIST.800-171.r2 3.4.7, PCI DSS v4.0.1/1.2.7

Categoría: Proteger > Seguridad de red

Gravedad: baja

Tipo de recurso: AWS::EC2::NetworkAcl

Regla de AWS Config : vpc-network-acl-unused-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si hay listas de control de acceso a la red (red ACLs) no utilizadas en su nube privada virtual (VPC). El control lanza error si la ACL de la red no está asociada a una subred. El control no genera resultados para una ACL de red predeterminada que no está en uso.

El control comprueba la configuración de elementos del recurso de AWS::EC2::NetworkAcl y determina las relaciones de la ACL de la red.

Si la única relación es la VPC de la ACL de la red, el control lanza error.

Si se enumeran otras relaciones, el control pasa.

Corrección

Para obtener instrucciones sobre cómo eliminar una ACL de red no utilizada, consulte Eliminar una ACL de red en la Guía del usuario de Amazon VPC. No puede eliminar la ACL de red predeterminada ni una ACL asociada a subredes.

[EC2.17] Las instancias de Amazon EC2 no deben usar múltiples ENIs

Requisitos relacionados: NIST.800-53.r5 AC-4 (21)

Categoría: Proteger > Seguridad de red

Gravedad: baja

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config : ec2-instance-multiple-eni-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una instancia EC2 utiliza varias interfaces de red elásticas (ENI) o adaptadores de estructura elástica (EFA). Este control se ejecuta si se utiliza un único adaptador de red. El control incluye una lista de parámetros opcional para identificar los ENI permitidos. Este control también falla si una instancia EC2 que pertenece a un clúster de Amazon EKS utiliza más de un ENI. Si sus instancias EC2 necesitan tener varias ENIs como parte de un clúster de Amazon EKS, puede suprimir esas conclusiones de control.

Si tiene varias ENIs subredes, puede haber instancias de doble host, es decir, instancias que tienen varias subredes. Esto puede añadir complejidad a la seguridad de la red e introducir rutas y accesos a la red no deseados.

Corrección

Para desvincular una interfaz de red de una instancia de EC2, consulte Desvinculación de una interfaz de red de una instancia en la Guía del usuario de Amazon EC2.

[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados

Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NISt.800-171.r2 NIST.800-53.r5 SC-7 3.1.3, NISt.800-171.r2 3.1.20, NISt.800-171.r2 3.13.1

Categoría: Proteger > Configuración de red segura > Configuración de grupos de seguridad

Gravedad: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config : vpc-sg-open-only-to-authorized-ports

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`authorizedTcpPorts`	Lista de puertos TCP autorizados	IntegerList (mínimo de 1 elemento y máximo de 32 elementos)	De `1` a `65535`	`[80,443]`
`authorizedUdpPorts`	Lista de puertos UDP autorizados	IntegerList (mínimo de 1 artículo y máximo de 32 artículos)	De `1` a `65535`	Sin valor predeterminado

Este control comprueba si un grupo de seguridad de Amazon EC2 permite el tráfico entrante sin restricciones de puertos no autorizados. El estado de control se determina de la siguiente manera:

Si se utiliza el valor predeterminado para authorizedTcpPorts, se producirá un error en el control si el grupo de seguridad permite el tráfico entrante sin restricciones de cualquier puerto que no sea el 80 ni el 443.
Si proporciona valores personalizados para authorizedTcpPorts o authorizedUdpPorts, se producirá un error en el control si el grupo de seguridad permite el tráfico entrante sin restricciones de cualquier puerto que no figure en la lista.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a AWS. Las reglas de los grupos de seguridad deben seguir el principio del acceso con menos privilegios. El acceso sin restricciones (dirección IP con el sufijo /0) aumenta las posibilidades de que se produzcan actividades maliciosas, como hackeos, denial-of-service ataques y pérdida de datos. A menos que se permita específicamente un puerto, dicho puerto debería denegar el acceso sin restricciones.

Corrección

Para modificar un grupo de seguridad, consulte Trabajo con grupos de seguridad en la Guía del usuario de Amazon VPC.

[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo

Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (1), NIST.800-53.r5 CA-9 (11), (16) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NISt.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NISt.800-171.r2 3.1.20, NISt.800-171.r2 3.13.1

Categoría: Proteger > Acceso restringido a la red

Gravedad: crítica

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regla restricted-common-portsvpc-sg-restricted-common-ports: (la regla creada es)

Tipo de programa: activado por cambios y periódico

Parámetros: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (no personalizables)

Este control comprueba si el tráfico entrante sin restricciones de un grupo de seguridad de Amazon EC2 es accesible para los puertos especificados que se consideran de mayor riesgo. Este control falla si alguna de las reglas de un grupo de seguridad permite la entrada de tráfico desde “0.0.0.0/0” o “::/0” a esos puertos.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . El acceso sin restricciones (0.0.0.0/0) aumenta las posibilidades de que se produzcan actividades maliciosas, como la piratería informática, denial-of-service los ataques y la pérdida de datos. Ningún grupo de seguridad debe permitir el acceso de entrada sin restricciones a los siguientes puertos:

20, 21 (FTP)
22 (SSH)
23 (Telnet)
25 (SMTP)
POP3(10)
135 (RPC)
143 (IMAP)
445 (CIFS)
1433, 1434 (MSSQL)
3000 (marcos de desarrollo web Go, Node.js y Ruby)
3306 (MySQL)
3389 (RDP)
4333 (ahsp)
5000 (marcos de desarrollo web Python)
5432 (postgresql)
500 (fcp-addr-srvr1)
5601 (OpenSearch paneles de control)
8080 (proxy)
8088 (puerto HTTP antiguo)
8888 (puerto HTTP alternativo)
9200 o 9300 () OpenSearch

Corrección

Para eliminar reglas de un grupo de seguridad, consulte Eliminación de reglas de un grupo de seguridad en la Guía del usuario de Amazon EC2.

[EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5), NIst.800-171.r2 3.1.13, NISt.800-171.r2 3.1.20

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso:AWS::EC2::VPNConnection

Regla de AWS Config : vpc-vpn-2-tunnels-up

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Un túnel VPN es un enlace cifrado por el que los datos pueden pasar desde la red del cliente hacia AWS o desde una conexión VPN. AWS Site-to-Site Cada conexión de VPN incluye dos túneles de VPN que puede utilizar simultáneamente para conseguir alta disponibilidad. Asegurarse de que ambos túneles VPN estén activos para una conexión VPN es importante para confirmar una conexión segura y de alta disponibilidad entre una AWS VPC y su red remota.

Este control comprueba que los dos túneles VPN proporcionados por la AWS Site-to-Site VPN estén en estado ACTIVO. El control falla si uno o ambos túneles están en estado INACTIVO.

Corrección

Para modificar las opciones del túnel VPN, consulte Modificación de las opciones del túnel Site-to-Site VPN en la Guía del usuario de la AWS Site-to-Site VPN.

[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389

Requisitos relacionados: CIS AWS Foundations Benchmark v5.0.0/5.2, CIS AWS Foundations Benchmark v1.4.0/5.1, CIS AWS Foundations Benchmark v3.0.0/5.1, NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 (21), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NISt.800-171.r2 3.1.3, NISt.800-171.r2 3.1.20, NISt.800-171.r2 3.13.1, PCI DSS v4.0.1/1.3.1

Categoría: Proteger > Configuración de red segura

Gravedad: media

Tipo de recurso:AWS::EC2::NetworkAcl

Regla de AWS Config : nacl-no-unrestricted-ssh-rdp

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una lista de control de acceso a la red (ACL de red) permite el acceso sin restricciones a los puertos TCP predeterminados para el tráfico de SSH/RDP entrada. El control lanza error si una entrada entrante de la ACL de la red permite un bloque de CIDR de origen de “0.0.0.0/0” o “::/0” para los puertos TCP 22 o 3389. El control no genera resultados para una ACL de red predeterminada.

El acceso a los puertos de administración remota del servidor, como el puerto 22 (SSH) y el puerto 3389 (RDP), no debe ser de acceso público, ya que esto puede permitir el acceso no deseado a los recursos de la VPC.

Corrección

Para editar las reglas de tráfico de ACL de la red, consulte Trabajar con la red ACLs en la Guía del usuario de Amazon VPC.

[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse

Categoría: Identificar - Inventario

Gravedad: media

Tipo de recurso: AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup

Regla de AWS Config : ec2-security-group-attached-to-eni-periodic

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los grupos de seguridad están asociados a instancias de Amazon Elastic Compute Cloud (Amazon EC2) o a una interfaz de red elástica. El control lanza error si el grupo de seguridad no está asociado a una instancia de Amazon EC2 o a una interfaz de red elástica.

importante

El 20 de septiembre de 2023, Security Hub CSPM eliminó este control de las mejores prácticas de seguridad AWS fundamentales y de los estándares NIST SP 800-53 revisión 5. Este control sigue formando parte del estándar de administración de servicios. AWS Control Tower Este control genera un resultado aprobado si los grupos de seguridad están asociados a instancias de EC2 o a una interfaz de red elástica. Sin embargo, en algunos casos de uso, los grupos de seguridad independientes no representan un riesgo para la seguridad. Puede usar otros controles de EC2, como EC2.2, EC2.13, EC2.14, EC2.18 y EC2.19, para supervisar sus grupos de seguridad.

Corrección

Para crear, asignar y eliminar grupos de seguridad, consulte Grupos de seguridad para las instancias de EC2 en la Guía del usuario de Amazon EC2.

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

Requisitos relacionados: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2

Categoría: Proteger - Configuración de red segura

Gravedad: alta

Tipo de recurso:AWS::EC2::TransitGateway

Regla de AWS Config : ec2-transit-gateway-auto-vpc-attach-disabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si las pasarelas de tránsito de EC2 aceptan automáticamente adjuntos de VPC compartidos. Este control falla en el caso de una pasarela de tránsito que acepta automáticamente las solicitudes de adjuntos de VPC compartidas.

Al activar AutoAcceptSharedAttachments se configura una pasarela de tránsito para que acepte automáticamente cualquier solicitud de adjunto de VPC multicuenta sin verificar la solicitud o la cuenta desde la que se origina el archivo adjunto. Para seguir las prácticas recomendadas de autorización y autenticación, recomendamos desactivar esta característica para garantizar que solo se acepten las solicitudes de adjuntos de VPC autorizadas.

Corrección

Para modificar una puerta de enlace de tránsito, consulte Modificación de una puerta de enlace de tránsito en la Guía para desarrolladores de Amazon VPC.

[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

Requisitos relacionados: NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)

Categoría: Identificar > Administración de vulnerabilidades, parches y versiones

Gravedad: media

Tipo de recurso:AWS::EC2::Instance

Regla de AWS Config : ec2-paravirtual-instance-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si el tipo de virtualización de una instancia EC2 es paravirtual. El control falla si virtualizationType de la instancia EC2 está configurada como paravirtual.

Las Amazon Machine Images (AMIs) de Linux utilizan uno de los dos tipos de virtualización: paravirtual (PV) o máquina virtual de hardware (HVM). Las principales diferencias entre la PV y la HVM AMIs son la forma en que arrancan y si pueden aprovechar las extensiones de hardware especiales (CPU, red y almacenamiento) para obtener un mejor rendimiento.

Históricamente, en muchos casos los clientes que utilizan sistemas fotovoltaicos ofrecían un mejor rendimiento que los de HVM, pero debido a las mejoras en la virtualización de la HVM y a la disponibilidad de controladores fotovoltaicos para los sistemas HVM AMIs, esto ya no es cierto. Para obtener más información, consulte Tipos de virtualización de la AMI de Linux en la Guía del usuario de Amazon EC2.

Corrección

Para actualizar una instancia de EC2 a un nuevo tipo de instancia, consulte Cambio del tipo de instancia en la Guía del usuario de Amazon EC2.

[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente

Gravedad: alta

Tipo de recurso:AWS::EC2::LaunchTemplate

Regla de AWS Config : ec2-launch-template-public-ip-disabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si las plantillas de lanzamiento de Amazon EC2 están configuradas para asignar direcciones IP públicas a las interfaces de red en el momento del lanzamiento. El control falla si una plantilla de lanzamiento de EC2 está configurada para asignar una dirección IP pública a las interfaces de red o si hay al menos una interfaz de red que tiene una dirección IP pública.

Una dirección IP pública es una dirección a la que se puede tener acceso desde Internet. Si configura las interfaces de red con una dirección IP pública, es posible que se pueda acceder a los recursos asociados a esas interfaces de red desde Internet. Los recursos de EC2 no deberían ser de acceso público, ya que esto podría permitir el acceso no deseado a sus cargas de trabajo.

Corrección

Para actualizar una plantilla de lanzamiento de EC2, consulte Cambiar la configuración predeterminada de la interfaz de red en la Guía del usuario de Amazon EC2 Auto Scaling.

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad

Categoría: Recuperación > Resiliencia > Respaldos habilitados

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NISt.800-53.r5 SI-12, NISt.800-53.r5 SI-13 (5)

Gravedad: baja

Tipo de recurso: AWS::EC2::Volume

AWS Config regla: ebs-resources-protected-by-backup-plan

Tipo de programa: Periódico

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`backupVaultLockCheck`	El control genera un resultado `PASSED` si el parámetro está establecido en `true` y el recurso utiliza el Bloqueo de almacenes de AWS Backup .	Booleano	`true` o `false`	Sin valor predeterminado

Este control evalúa si un volumen de Amazon EBS en el estado in-use está cubierto por un plan de copias de seguridad. Se produce un error en el control si un volumen de Amazon EBS no está cubierto por un plan de copias de seguridad. Si establece el backupVaultLockCheck parámetro en un valor igual atrue, el control solo se activará si el volumen de EBS está guardado en un AWS Backup almacén cerrado con llave.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resiliencia de sus sistemas. La inclusión de los volúmenes de Amazon EBS en un plan de copias de seguridad le ayuda a proteger sus datos contra pérdidas o eliminaciones involuntarias.

Corrección

Para añadir un volumen de Amazon EBS a un plan de AWS Backup backup, consulte Asignación de recursos a un plan de backup en la Guía para AWS Backup desarrolladores.

[EC2.33] Las conexiones de puerta de enlace de tránsito de EC2 deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::TransitGatewayAttachment

AWS Config regla: tagged-ec2-transitgatewayattachment (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si una conexión de puerta de enlace de tránsito de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si la conexión de puerta de enlace de tránsito no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la conexión de puerta de enlace de tránsito no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.

nota

No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.

Corrección

Para agregar etiquetas a una conexión de puerta de enlace de tránsito de EC2, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::TransitGatewayRouteTable

AWS Config regla: tagged-ec2-transitgatewayroutetable (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si una tabla de enrutamiento de una puerta de enlace de tránsito de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si la tabla de enrutamiento de la puerta de enlace de tránsito no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la tabla de enrutamiento de la puerta de enlace de tránsito no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a una tabla de enrutamiento de una puerta de enlace de tránsito de EC2, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.35] Las interfaces de red de EC2 deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::NetworkInterface

AWS Config regla: tagged-ec2-networkinterface (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si una interfaz de red de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si la interfaz de red no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la interfaz de red no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a una interfaz de red de EC2, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.36] Las puertas de enlace de cliente de EC2 deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::CustomerGateway

AWS Config regla: tagged-ec2-customergateway (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si una puerta de enlace de cliente de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si la puerta de enlace de cliente no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace de cliente no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a una puerta de enlace de cliente de EC2, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.37] Las direcciones IP elásticas de EC2 deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::EIP

AWS Config regla: tagged-ec2-eip (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si una dirección IP elástica de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si la dirección IP elástica no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la dirección IP elástica no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a una dirección IP elástica de EC2, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.38] Las instancias de EC2 deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::Instance

AWS Config regla: tagged-ec2-instance (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si una instancia de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si la instancia no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la instancia no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a una instancia de EC2, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.39] Las puertas de enlace de Internet de EC2 deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::InternetGateway

AWS Config regla: tagged-ec2-internetgateway (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si una puerta de enlace de Internet de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si la puerta de enlace de Internet no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace de Internet no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a una puerta de enlace de Internet de EC2, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::NatGateway

AWS Config regla: tagged-ec2-natgateway (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si una puerta de enlace de traducción de direcciones de red (NAT) de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si la puerta de enlace de NAT no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace de NAT no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a una puerta de enlace de NAT de EC2, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.41] La red EC2 debe estar etiquetada ACLs

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::NetworkAcl

AWS Config regla: tagged-ec2-networkacl (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si una lista de control de acceso de la red (ACL de la red) de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si la ACL de la red no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la ACL de la red no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a una ACL de red de EC2, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.42] Las tablas de enrutamiento de EC2 deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::RouteTable

AWS Config regla: tagged-ec2-routetable (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si una tabla de enrutamiento de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si la tabla de enrutamiento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la tabla de enrutamiento no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a una tabla de enrutamiento de EC2, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.43] Los grupos de seguridad de EC2 deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regla: tagged-ec2-securitygroup (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si un grupo de seguridad de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si el grupo de seguridad no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el grupo de seguridad no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a un grupo de seguridad de EC2, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.44] Las subredes de EC2 deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::Subnet

AWS Config regla: tagged-ec2-subnet (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si una subred de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si la subred no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la subred no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a una subred de EC2, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.45] Los volúmenes de EC2 deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::Volume

AWS Config regla: tagged-ec2-volume (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si un volumen de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si el volumen no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el volumen no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a un volumen de EC2, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.46] Amazon VPCs debe estar etiquetado

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::VPC

AWS Config regla: tagged-ec2-vpc (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si una Amazon Virtual Private Cloud (Amazon VPC) tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si la Amazon VPC no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la Amazon VPC no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a una VPC, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.47] Los servicios de puntos de conexión de Amazon VPC deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::VPCEndpointService

AWS Config regla: tagged-ec2-vpcendpointservice (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si un servicio de puntos de conexión de Amazon VPC tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si el servicio de punto de conexión no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el servicio de punto de conexión no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a un servicio de punto de conexión de Amazon VPC, consulte Administración de etiquetas en la sección Configuración de un servicio de punto de conexión de la Guía AWS PrivateLink .

[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::FlowLog

AWS Config regla: tagged-ec2-flowlog (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si un registro de flujo de Amazon VPC tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si el registro de flujo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el registro de flujo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a un registro de flujo de Amazon VPC, consulte Etiquetado de un registro de flujo en la Guía del usuario de Amazon VPC.

[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::VPCPeeringConnection

AWS Config regla: tagged-ec2-vpcpeeringconnection (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si una conexión de emparejamiento de Amazon VPC tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si la conexión de emparejamiento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la conexión de emparejamiento no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a una conexión de emparejamiento de Amazon VPC, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.50] Las puertas de enlace de NAT de EC2 deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::VPNGateway

AWS Config regla: tagged-ec2-vpngateway (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control comprueba si una puerta de enlace VPN de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si la puerta de enlace VPN no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace VPN no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a una puerta de enlace VPN de EC2, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes

Requisitos relacionados: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NiSt.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NiSt.800-53.r5 SI-4, NiSt.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), NIst.800-171.R2 3.1.12, NIst.800-171.r2 3.1.20, PCI DSS v4.0.1/10.2.1

Categoría: Identificar - Registro

Gravedad: baja

Tipo de recurso: AWS::EC2::ClientVpnEndpoint

AWS Config regla: ec2-client-vpn-connection-log-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un AWS Client VPN punto final tiene habilitado el registro de conexiones de clientes. Se produce un error en el control si el punto de conexión no tiene habilitado el registro de conexiones de clientes.

Los puntos de conexión de Client VPN permiten a los clientes remotos conectarse de manera segura a los recursos de una nube privada virtual (VPC) en AWS. Los registros de conexión permiten hacer un seguimiento de la actividad de los usuarios en el punto de conexión de la VPN y proporcionan visibilidad. Cuando habilita el registro de conexión, puede especificar el nombre de una secuencia de registros en el grupo de registros. Si no se especifica ningún flujo de registros, el servicio Client VPN crea uno automáticamente.

Corrección

Para habilitar el registro de conexión, consulte Habilitación del registro de conexión en un punto de conexión de Client VPN existente en la Guía del administrador de AWS Client VPN .

[EC2.52] Las puertas de enlace de tránsito de EC2 deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::TransitGateway

AWS Config regla: tagged-ec2-transitgateway (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	`No default value`

Este control comprueba si una puerta de enlace de tránsito de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si la puerta de enlace de tránsito no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace de tránsito no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

nota

Corrección

Para agregar etiquetas a una puerta de enlace de tránsito de EC2, consulte Etiquetado de recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos

Requisitos relacionados: CIS AWS Foundations Benchmark v5.0.0/5.3, CIS Foundations Benchmark v3.0.0/5.2, PCI AWS DSS v4.0.1/1.3.1

Categoría: Proteger > Configuración de red segura > Configuración de grupos de seguridad

Gravedad: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config : vpc-sg-port-restriction-check

Tipo de programa: Periódico

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`ipType`	La versión de IP	Cadena	No personalizable	`IPv4`
`restrictPorts`	Lista de puertos que deben rechazar el tráfico de entrada	IntegerList	No personalizable	`22,3389`

Este control comprueba si un grupo de seguridad de Amazon EC2 permite la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos (puertos 22 y 3389). El control lanza error si el grupo de seguridad permite la entrada de 0.0.0.0/0 a los puertos 22 o 3389.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . Se recomienda que ningún grupo de seguridad permita el acceso sin restricciones a los puertos de administración de servidores remotos, como SSH al puerto 22 y RDP al puerto 3389, mediante los protocolos TDP (6), UDP (17) o ALL (-1). Si se permite el acceso público a estos puertos, crece la superficie expuesta a ataques de los recursos y el riesgo de que los recursos se vean comprometidos.

Corrección

Si desea actualizar una regla de un grupo de seguridad de EC2 para prohibir el tráfico de entrada a los puertos especificados, consulte Actualización de las reglas de un grupo de seguridad en la Guía del usuario de Amazon EC2. Después de seleccionar un grupo de seguridad en la consola de Amazon EC2, elija Acciones y editar reglas de entrada. Elimine la regla que permite el acceso a los puertos 22 o 3389.

[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos

Requisitos relacionados: CIS AWS Foundations Benchmark v5.0.0/5.4, CIS Foundations Benchmark v3.0.0/5.3, PCI DSS AWS v4.0.1/1.3.1

Categoría: Proteger > Configuración de red segura > Configuración de grupos de seguridad

Gravedad: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config : vpc-sg-port-restriction-check

Tipo de programa: Periódico

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`ipType`	La versión de IP	Cadena	No personalizable	`IPv6`
`restrictPorts`	Lista de puertos que deben rechazar el tráfico de entrada	IntegerList	No personalizable	`22,3389`

Este control comprueba si un grupo de seguridad de Amazon EC2 permite la entrada de ::/0 a puertos de administración de servidores remotos (puertos 22 y 3389). El control lanza error si el grupo de seguridad permite la entrada de ::/0 o a los puertos 22 o 3389.

Corrección

[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

Categoría: Proteger - Administración de acceso seguro > Control de acceso

Gravedad: media

Tipo de recurso: AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regla de AWS Config : vpc-endpoint-enabled

Tipo de programa: Periódico

Parámetros:

Parámetro	Obligatorio	Description (Descripción)	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`serviceNames`	Obligatorio	El nombre del servicio que el control evalúa	Cadena	No personalizable	`ecr.api`
`vpcIds`	Opcional	Lista separada por comas de Amazon VPC IDs para puntos de enlace de VPC. Si se proporciona, el control falla si los servicios especificados en el parámetro `serviceName` no tienen uno de estos puntos de conexión de VPC.	StringList	Personalice con una o más VPC IDs	Sin valor predeterminado

Este control comprueba si una nube privada virtual (VPC) que administra tiene un punto de conexión de interfaz de VPC para la API de Amazon ECR. El control falla si la VPC no tiene un punto de conexión de VPC de interfaz para la API de ECR. Este control evalúa recursos en una única cuenta.

AWS PrivateLink permite a los clientes acceder a los servicios alojados AWS en ellos de una manera escalable y de alta disponibilidad, manteniendo todo el tráfico de la red dentro de la AWS red. Los usuarios del servicio pueden acceder de forma privada a los servicios con tecnología PrivateLink desde su VPC o sus instalaciones locales, sin utilizar el público IPs y sin necesidad de que el tráfico atraviese Internet.

Corrección

Para configurar un punto de enlace de VPC, consulte Acceder y Servicio de AWS utilizar un punto de enlace de VPC de interfaz en la Guía.AWS PrivateLink

[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry

Categoría: Proteger - Administración de acceso seguro > Control de acceso

Gravedad: media

Tipo de recurso: AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regla de AWS Config : vpc-endpoint-enabled

Tipo de programa: Periódico

Parámetros:

Parámetro	Obligatorio	Description (Descripción)	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`serviceNames`	Obligatorio	El nombre del servicio que el control evalúa	Cadena	No personalizable	`ecr.dkr`
`vpcIds`	Opcional	Lista separada por comas de Amazon VPC IDs para puntos de enlace de VPC. Si se proporciona, el control falla si los servicios especificados en el parámetro `serviceName` no tienen uno de estos puntos de conexión de VPC.	StringList	Personalice con una o más VPC IDs	Sin valor predeterminado

Este control comprueba si una nube privada virtual (VPC) que administra tiene un punto de conexión de VPC de interfaz para el registro de Docker. El control falla si la VPC no tiene un punto de conexión de VPC de interfaz para el registro de Docker. Este control evalúa recursos en una única cuenta.

Corrección

Para configurar un punto de enlace de VPC, consulte Acceder y Servicio de AWS utilizar un punto de enlace de VPC de interfaz en la Guía.AWS PrivateLink

[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager

Categoría: Proteger - Administración de acceso seguro > Control de acceso

Gravedad: media

Tipo de recurso: AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regla de AWS Config : vpc-endpoint-enabled

Tipo de programa: Periódico

Parámetros:

Parámetro	Obligatorio	Description (Descripción)	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`serviceNames`	Obligatorio	El nombre del servicio que el control evalúa	Cadena	No personalizable	`ssm`
`vpcIds`	Opcional	Lista separada por comas de Amazon VPC IDs para puntos de enlace de VPC. Si se proporciona, el control falla si los servicios especificados en el parámetro `serviceName` no tienen uno de estos puntos de conexión de VPC.	StringList	Personalice con una o más VPC IDs	Sin valor predeterminado

Este control comprueba si una nube privada virtual (VPC) que administra tiene un punto de conexión de VPC de interfaz para AWS Systems Manager. El control falla si la VPC no tiene un punto de conexión de VPC de interfaz para Systems Manager. Este control evalúa recursos en una única cuenta.

Corrección

Para configurar un punto de enlace de VPC, consulte Acceder y Servicio de AWS utilizar un punto de enlace de VPC de interfaz en la Guía.AWS PrivateLink

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

Categoría: Proteger - Administración de acceso seguro > Control de acceso

Gravedad: media

Tipo de recurso: AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regla de AWS Config : vpc-endpoint-enabled

Tipo de programa: Periódico

Parámetros:

Parámetro	Obligatorio	Description (Descripción)	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`serviceNames`	Obligatorio	El nombre del servicio que el control evalúa	Cadena	No personalizable	`ssm-contacts`
`vpcIds`	Opcional	Lista separada por comas de Amazon VPC IDs para puntos de enlace de VPC. Si se proporciona, el control falla si los servicios especificados en el parámetro `serviceName` no tienen uno de estos puntos de conexión de VPC.	StringList	Personalice con una o más VPC IDs	Sin valor predeterminado

Este control comprueba si una nube privada virtual (VPC) que usted administra tiene un punto final de VPC de interfaz para AWS Systems Manager los contactos de Incident Manager. El control falla si la VPC no tiene un punto de conexión de VPC de interfaz para contactos del administrador de incidentes de Systems Manager. Este control evalúa recursos en una única cuenta.

AWS PrivateLink permite a los clientes acceder a los servicios alojados de una AWS manera escalable y de alta disponibilidad, al tiempo que mantiene todo el tráfico de la red dentro de la AWS red. Los usuarios del servicio pueden acceder de forma privada a los servicios con tecnología PrivateLink desde su VPC o sus instalaciones locales, sin utilizar el público IPs y sin necesidad de que el tráfico atraviese Internet.

Corrección

Para configurar un punto de enlace de VPC, consulte Acceder y Servicio de AWS utilizar un punto de enlace de VPC de interfaz en la Guía.AWS PrivateLink

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

Categoría: Proteger - Administración de acceso seguro > Control de acceso

Gravedad: media

Tipo de recurso: AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regla de AWS Config : vpc-endpoint-enabled

Tipo de programa: Periódico

Parámetros:

Parámetro	Obligatorio	Description (Descripción)	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`serviceNames`	Obligatorio	El nombre del servicio que el control evalúa	Cadena	No personalizable	`ssm-incidents`
`vpcIds`	Opcional	Lista separada por comas de Amazon VPC IDs para puntos de enlace de VPC. Si se proporciona, el control falla si los servicios especificados en el parámetro `serviceName` no tienen uno de estos puntos de conexión de VPC.	StringList	Personalice con una o más VPC IDs	Sin valor predeterminado

Este control comprueba si una nube privada virtual (VPC) que usted administra tiene un punto final de VPC de interfaz para Incident Manager. AWS Systems Manager El control falla si la VPC no tiene un punto de conexión de VPC de interfaz para el administrador de incidentes de Systems Manager. Este control evalúa recursos en una única cuenta.

Corrección

Para configurar un punto de enlace de VPC, consulte Acceder y Servicio de AWS utilizar un punto de enlace de VPC de interfaz en la Guía.AWS PrivateLink

[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2

Requisitos relacionados: PCI DSS v4.0.1/2.2.6

Categoría: Proteger > Seguridad de red

Gravedad: baja

Tipo de recurso: AWS::EC2::LaunchTemplate

Regla de AWS Config : ec2-launch-template-imdsv2-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una plantilla de lanzamiento de Amazon EC2 está configurada con la versión 2 () IMDSv2 del servicio de metadatos de instancias. El control tiene errores si HttpTokens está configurado como optional,

El uso de recursos con versiones de software compatibles garantiza un rendimiento óptimo, seguridad y acceso a las características más recientes. Las actualizaciones periódicas protegen contra las vulnerabilidades, lo que ayuda a garantizar una experiencia de usuario estable y eficaz.

Corrección

Para solicitar IMDSv2 en una plantilla de lanzamiento de EC2, consulte Configuración de las opciones del servicio de metadatos de instancias en la Guía del usuario de Amazon EC2.

[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/10.4.2

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::EC2::VPNConnection

Regla de AWS Config : ec2-vpn-connection-logging-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una conexión AWS Site-to-Site VPN tiene Amazon CloudWatch Logs habilitado para ambos túneles. El control falla si una conexión Site-to-Site VPN no tiene habilitados CloudWatch los registros para ambos túneles.

AWS Site-to-Site Los registros de VPN le proporcionan una mayor visibilidad de sus despliegues de Site-to-Site VPN. Con esta función, tiene acceso a los registros de conexión Site-to-Site VPN que proporcionan detalles sobre el establecimiento del túnel de seguridad IP (IPsec), las negociaciones sobre el intercambio de claves de Internet (IKE) y los mensajes del protocolo de detección de pares muertos (DPD). Site-to-Site Los registros de VPN se pueden publicar en CloudWatch Logs. Esta función proporciona a los clientes una forma única y coherente de acceder a los registros detallados de todas sus conexiones Site-to-Site VPN y analizarlos.

Corrección

Para habilitar el registro de túneles en una conexión VPN de EC2, consulte los registros de AWS Site-to-Site VPN en la Guía del usuario de AWS Site-to-Site VPN.

[EC2.172] Los ajustes de Bloqueo de acceso público de las VPC de EC2 deben bloquear el tráfico de las puertas de enlace de Internet

Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente

Gravedad: media

Tipo de recurso: AWS::EC2::VPCBlockPublicAccessOptions

AWS Config regla: ec2-vpc-bpa-internet-gateway-blocked (regla CSPM de Security Hub personalizada)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`vpcBpaInternetGatewayBlockMode`	Valor de cadena del modo de opciones de bloqueo de acceso público de la VPC.	Enum	`block-bidirectional`, `block-ingress`	Sin valor predeterminado

Este control comprueba si los ajustes de acceso público (BPA) de la VPC de Amazon EC2 están configurados para bloquear el tráfico de las puertas de enlace de Internet para todos los Amazon del. VPCs Cuenta de AWS El control falla si la configuración de bloqueo de acceso público de la VPC no está establecida para bloquear el tráfico de puerta de enlace de Internet. Para que el control pase, la opción de InternetGatewayBlockMode de bloqueo de acceso público de la VPC debe estar establecida en block-bidirectional o block-ingress. Si se proporciona el parámetro vpcBpaInternetGatewayBlockMode, el control pasa únicamente si el valor de bloqueo de acceso público de la VPC para InternetGatewayBlockMode coincide con el parámetro.

Configurar los ajustes de BPA de la VPC para su cuenta en y Región de AWS le permite bloquear los recursos VPCs y las subredes de su propiedad en esa región para que no lleguen o sean accesibles desde Internet a través de puertas de enlace de Internet y puertas de enlace de Internet solo de salida. Si necesita subredes VPCs AND específicas para poder acceder o ser accesible desde Internet, puede excluirlas configurando las exclusiones de BPA de la VPC. Para obtener instrucciones sobre cómo crear y eliminar exclusiones, consulte Creación y eliminación de exclusiones en la Guía del usuario de Amazon VPC.

Corrección

Para habilitar el bloqueo de acceso público bidireccional a nivel de la cuenta, consulte Habilitación del modo bidireccional de BPA para la cuenta en la Guía del usuario de Amazon VPC. Para habilitar el bloqueo de acceso público solo de entrada, consulte Cómo cambiar el modo de bloqueo de acceso público de la VPC a solo de entrada. Para habilitar el bloqueo de acceso público de la VPC a nivel de la organización, consulte Habilitación del bloqueo de acceso público de la VPC a nivel de la organización.

[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::EC2::SpotFleet

Regla de AWS Config : ec2-spot-fleet-request-ct-encryption-at-rest

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control verifica si una solicitud de flota de Spot de Amazon EC2 que especifica parámetros de lanzamiento está configurada para habilitar el cifrado de todos los volúmenes de Amazon Elastic Block Store (Amazon EBS) asociados a instancias de EC2. El control falla si la solicitud de flota de spot especifica parámetros de lanzamiento y no habilita el cifrado para uno o más volúmenes EBS indicados en la solicitud.

Para mayor seguridad, debe habilitar el cifrado de los volúmenes de Amazon EBS. Las operaciones de cifrado se realizan en los servidores que alojan las instancias de Amazon EC2, lo que ayuda a garantizar la seguridad tanto de los datos en reposo como de los datos en tránsito entre una instancia y el almacenamiento de EBS asociado. El cifrado de Amazon EBS es una solución de cifrado sencilla para los recursos de EBS asociados a las instancias de EC2. Con el cifrado de EBS, no necesita crear, mantener ni proteger una infraestructura de administración de claves propia. El cifrado EBS AWS KMS keys se utiliza al crear volúmenes cifrados.

Notas

Este control no genera resultados para las solicitudes de flota de spot de Amazon EC2 que usan plantillas de lanzamiento. Tampoco genera resultados para las solicitudes de flota de spot que no especifican explícitamente un valor para el parámetro encrypted.

Corrección

No existe una manera directa de cifrar un volumen de Amazon EBS existente que no esté cifrado. Solo puede cifrar un volumen nuevo cuando lo crea.

Sin embargo, si habilita el cifrado de manera predeterminada, Amazon EBS cifra los volúmenes nuevos con la clave predeterminada para el cifrado de EBS. Si no habilita el cifrado de manera predeterminada, puede habilitar el cifrado cuando crea un volumen individual. En ambos casos, puede reemplazar la clave predeterminada para el cifrado de EBS y elegir una clave de AWS KMS key administrada por el cliente. Para obtener más información sobre el cifrado de EBS, consulte el Cifrado de Amazon EBS en la Guía del usuario de Amazon EBS.

Para obtener información sobre cómo crear una solicitud de flota de spot de Amazon EC2, consulte Creación de una flota de spot en la Guía del usuario de Amazon Elastic Compute Cloud.

[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::DHCPOptions

Regla de AWS Config : ec2-dhcp-options-tagged

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredKeyTags`	Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control verifica si un conjunto de opciones de DHCP de Amazon EC2 tiene las claves de requiredKeyTags especificadas por el parámetro . El control falla si el conjunto de opciones no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro requiredKeyTags. Si no especifica ningún valor para el parámetro requiredKeyTags, el control solo verifica la existencia de una clave de etiqueta y falla si el conjunto de opciones no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo aws:.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte Definición de permisos basados en atributos con autorización ABAC en la Guía del usuario de IAM. Para obtener más información sobre las etiquetas, consulte los AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas.

nota

No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

Corrección

Para obtener información sobre cómo agregar etiquetas a un conjunto de opciones de DHCP de Amazon EC2, consulte Etiquetado de los recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::LaunchTemplate

Regla de AWS Config : ec2-launch-template-tagged

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredKeyTags`	Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control verifica si una plantilla de lanzamiento de Amazon EC2 tiene las claves de etiqueta especificadas por el parámetro requiredKeyTags. El control falla si la plantilla de lanzamiento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro requiredKeyTags. Si usted no especifica ningún valor para el parámetro requiredKeyTags, el control solo verifica la existencia de una clave de etiqueta y falla si la plantilla de lanzamiento no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo aws:.

nota

Corrección

Para obtener información sobre cómo agregar tags a una plantilla de lanzamiento de Amazon EC2, consulte Etiquetado de los recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::PrefixList

Regla de AWS Config : ec2-prefix-list-tagged

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredKeyTags`	Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control realiza una comprobación para verificar si una lista de prefijos de Amazon EC2 tiene las claves de etiquetas especificadas por el parámetro requiredKeyTags. El control falla si la lista de prefijos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro requiredKeyTags. Si uno especifica valores para el parámetro requiredKeyTags, el control solo realiza una comprobación de la existencia de una clave de etiqueta y falla si la lista de prefijos no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo aws:.

nota

Corrección

Para obtener información sobre cómo agregar etiquetas a una lista de prefijos de Amazon EC2, consulte Etiquetad de los recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::TrafficMirrorSession

Regla de AWS Config : ec2-traffic-mirror-session-tagged

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredKeyTags`	Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control verifica si una sesión de duplicación de tráfico de Amazon EC2 tiene las claves de etiqueta especificadas por el parámetro requiredKeyTags. El control falla si la sesión no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro requiredKeyTags. Si no especifica valores para el parámetro requiredKeyTags, el control solo realiza una comprobación de la existencia de una clave de de etiqueta y falla si la sesión no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo aws:.

nota

Corrección

Para obtener información sobre cómo agregar etiquetas a una sesión de duplicación de tráfico de Amazon EC2, consulte Etiquetado de los recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::TrafficMirrorFilter

Regla de AWS Config : ec2-traffic-mirror-filter-tagged

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredKeyTags`	Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control verificar si un filtro de duplicación de tráfico de Amazon EC2 tiene las claves de etiqueta especificadas por el parámetro requiredKeyTags. El control falla si el filtro no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro requiredKeyTags. Si no especifica valores para el parámetro requiredKeyTags, el control solo verifica la existencia de una clave de etiqueta y falla si el filtro no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo aws:.

nota

Corrección

Para obtener información sobre cómo agregar etiquetas a un filtro de duplicación de tráfico de Amazon EC2, consulte Etiquetado de los recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::TrafficMirrorTarget

Regla de AWS Config : ec2-traffic-mirror-target-tagged

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de CSPM de Security Hub
`requiredKeyTags`	Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.	StringList (máximo de 6 artículos)	De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS.	Sin valor predeterminado

Este control verifica si un destino de duplicación de tráfico de Amazon EC2 tiene las claves de etiqueta especificadas por el parámetro requiredKeyTags. El control falla si el destino no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro requiredKeyTags. Si no especifica ningún valor para el parámetro requiredKeyTags, el control comprueba únicamente la existencia de una clave de etiqueta y falla si el destino no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo aws:.

nota

Corrección

Para obtener información sobre cómo agregar etiquetas a un destino de duplicación de tráfico de Amazon EC2, consulte Etiquetado de los recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination

Categoría: Proteger > Seguridad de red

Gravedad: media

Tipo de recurso: AWS::EC2::NetworkInterface

Regla de AWS Config : ec2-enis-source-destination-check-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si la source/destination comprobación está habilitada para una interfaz de red elástica (ENI) Amazon EC2 administrada por los usuarios. El control falla si la source/destination verificación está deshabilitada para la ENI administrada por el usuario. Este control comprueba únicamente los siguientes tipos de ENIs: aws_codestar_connections_managedbranch,efa, interfacelambda, yquicksight.

Source/destination checking for Amazon EC2 instances and attached ENIs should be enabled and configured consistently across your EC2 instances. Each ENI has its own setting for source/destination checks. If source/destination checking is enabled, Amazon EC2 enforces source/destinationvalidación de direcciones, que garantiza que una instancia sea el origen o el destino del tráfico que reciba. Esto proporciona un nivel adicional de seguridad de red al evitar que los recursos procesen tráfico no deseado y al impedir la suplantación de direcciones IP.

nota

Si utiliza una instancia EC2 como instancia de NAT y ha desactivado la source/destination comprobación de su ENI, puede utilizar una puerta de enlace NAT en su lugar.

Corrección

Para obtener información sobre cómo habilitar las source/destination comprobaciones para una ENI de Amazon EC2, consulte Modificar los atributos de la interfaz de red en la Guía del usuario de Amazon EC2.

[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::EC2::LaunchTemplate

Regla de AWS Config : ec2-launch-templates-ebs-volume-encrypted

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control verifica si una plantilla de lanzamiento de Amazon EC2 habilita el cifrado para todos los volúmenes de EBS asociados. El control falla si el parámetro de cifrado está establecido en False para cualquiera de los volúmenes de EBS especificados por la plantilla de lanzamiento de EC2.

El cifrado de Amazon EBS es una solución de cifrado sencilla para los recursos de EBS asociados a las instancias de Amazon EC2. Con el cifrado de EBS, no necesita crear, mantener ni proteger una infraestructura de administración de claves propia. El cifrado de EBS usa AWS KMS keys al crear volúmenes cifrados e instantáneas. Las operaciones de cifrado se realizan en los servidores que alojan instancias de EC2, lo que ayuda a garantizar la seguridad de los datos en reposo y en tránsito entre una instancia de EC2 y su almacenamiento EBS asociado. Para obtener más información, consulte Cifrado de Amazon EBS en la Guía del usuario de Amazon EBS.

Puede habilitar el cifrado de EBS durante los lanzamientos manuales de instancias individuales de EC2. Sin embargo, existen varios beneficios al usar plantillas de lanzamiento de EC2 y configurar ajustes de cifrado en esas plantillas. Puede aplicar el cifrado como estándar y garantizar el uso de configuraciones de cifrado coherentes. También puede reducir el riesgo de errores y brechas de seguridad que podrían ocurrir con lanzamientos manuales de instancias.

nota

Cuando este control verifica una plantilla de lanzamiento de EC2, solo evalúa los ajustes de cifrado de EBS que se especifican explícitamente en la plantilla. La evaluación no incluye configuraciones de cifrado heredadas del cifrado a nivel de cuenta para EBS, asignaciones de dispositivos de bloque de AMI o estados de cifrado de instantáneas de origen.

Corrección

Después de crear una plantilla de lanzamiento de Amazon EC2, no puede modificarla. Sin embargo, puede crear una nueva versión de una plantilla de lanzamiento y cambiar los ajustes de cifrado en esa nueva versión de la plantilla. También puede especificar la nueva versión como la versión predeterminada de la plantilla de lanzamiento. Luego, si lanza una instancia de EC2 desde una plantilla de lanzamiento y no especifica una versión de plantilla, EC2 usa los ajustes de la versión predeterminada cuando lanza la instancia. Para obtener más información, consulte Modificación de una plantilla de lanzamiento en la Guía del usuario de Amazon EC2.

[EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público

Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente

Gravedad: alta

Tipo de recurso: AWS::EC2::SnapshotBlockPublicAccess

Regla de AWS Config : ebs-snapshot-block-public-access

Tipo de horario: provocado por un cambio

Parámetros: ninguno

El control comprueba si la opción Bloquear el acceso público está habilitada para impedir que se compartan todas las instantáneas de Amazon EBS. El control falla si la opción Bloquear el acceso público no está habilitada para bloquear todo el uso compartido de todas las instantáneas de Amazon EBS.

Para evitar que se compartan públicamente sus instantáneas de Amazon EBS, puede habilitar el bloqueo del acceso público a las instantáneas. Una vez activado el bloqueo del acceso público a las instantáneas en una región, se bloquea automáticamente cualquier intento de compartir públicamente las instantáneas en esa región. Esto ayuda a mejorar la seguridad de las instantáneas y a proteger los datos de las instantáneas contra el acceso no autorizado o no intencionado.

Corrección

Para habilitar el acceso público bloqueado para las instantáneas, consulte Configurar el acceso público bloqueado para las instantáneas de Amazon EBS en la Guía del usuario de Amazon EBS. En Bloquear el acceso público, seleccione Bloquear todo el acceso público.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Controles de Amazon DynamoDB

Controles EC2 de Amazon Auto Scaling