Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Amazon Elastic Compute Cloud
Estos controles están relacionados con recursos de Amazon EC2.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[EC2.1] Las instantáneas de EBS no se deben poder restaurar públicamente
Requisitos relacionados: PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
Categoría: Proteger - Configuración de red segura
Gravedad: crítica
Tipo de recurso: AWS::::Account
Regla de AWS Config : ebs-snapshot-public-restorable-check
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si las instantáneas de Amazon Elastic Block Store no son públicas. El control falla si cualquier persona puede restaurar las instantáneas de Amazon EBS.
Las instantáneas de EBS se utilizan para hacer una copia de seguridad de los datos de sus volúmenes de EBS en Amazon S3 en un momento específico. Puede utilizar las instantáneas para restaurar estados anteriores de volúmenes de EBS. Rara vez es aceptable compartir una instantánea con el público. Por lo general, la decisión de compartir una instantánea públicamente se toma por error o sin una comprensión completa de las consecuencias. Esta comprobación ayuda a garantizar que todos esos intercambios se planificaron y son intencionados.
Para hacer que una instantánea de EBS pública sea privada, consulte Compartir una instantánea en la Guía del usuario de Amazon EC2 para instancias de Linux. En Acciones, Modificar permisos, seleccione Privado.
[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, CIS Foundations Benchmark v1.2.0/4.3, CIS AWS Foundations Benchmark v1.4.0/5.3, NISt.800-53.r5 AC-4, NISt.800-53.r5 AC-4 (21), NISt.800-53.r5 SC-7, NIST.800-53.r5 R5 SC-7 (11), niST.800-53.r5 SC-7 (16), niST.800-53.r5 SC-7 (21), niST.800-53.r5 SC-7 (4), NIst.800-53.r5 SC-7 (5) AWS
Categoría: Proteger - Configuración de red segura
Gravedad: alta
Tipo de recurso: AWS::EC2::SecurityGroup
Regla de AWS Config : vpc-default-security-group-closed
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba que el grupo de seguridad predeterminado de una VPC permita el tráfico entrante o saliente. El control falla si el grupo de seguridad permite el tráfico entrante o saliente.
Las reglas del grupo de seguridad predeterminado permiten todo el tráfico saliente y entrante de las interfaces de red (y de sus instancias asociadas) asignadas al mismo grupo de seguridad. Le recomendamos que no utilice el grupo de seguridad predeterminado. Dado que el grupo de seguridad predeterminado no se puede eliminar, debería cambiar la configuración de reglas de grupo de seguridad predeterminada para restringir el tráfico entrante y saliente. Esto evita el tráfico no deseado si el grupo de seguridad predeterminado se configura accidentalmente para recursos como instancias EC2.
Corrección
Para solucionar este problema, comience por crear nuevos grupos de seguridad con privilegios mínimos. Para obtener instrucciones, consulte Crear un grupo de seguridad en la Guía del usuario de Amazon VPC. A continuación, asigne los nuevos grupos de seguridad a sus instancias de EC2. Para obtener instrucciones, consulte Cambiar un grupo de seguridad de una instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.
Tras asignar los nuevos grupos de seguridad a sus recursos, elimine todas las reglas de entrada y salida de los grupos de seguridad predeterminados. Para obtener instrucciones, consulte Eliminar reglas del grupo de seguridad en la Guía del usuario de Amazon VPC.
[EC2.3] Los volúmenes de Amazon EBS asociados deben cifrarse en reposo
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
Categoría: Proteger - Protección de datos - Cifrado de datos en reposo
Gravedad: media
Tipo de recurso: AWS::EC2::Volume
Regla de AWS Config : encrypted-volumes
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si los volúmenes de EBS asociados están cifrados. Para superar esta comprobación, los volúmenes de EBS deben tener el estado de uso y estar cifrados. Si el volumen de EBS no está asociado, entonces no estará en el alcance de esta comprobación.
Para obtener una capa adicional de seguridad de la información confidencial en volúmenes de EBS, debe habilitar el cifrado de EBS en reposo. Amazon EBS ofrece una solución de cifrado sencilla para los recursos de EBS que no precisa que cree, mantenga y proteja su propia infraestructura de administración de claves. Utiliza claves CMK al crear volúmenes cifrados e instantáneas.
Para obtener más información acerca del cifrado de Amazon EBS, consulte Cifrado de Amazon EBS en la Guía del usuario de Amazon EC2 para instancias de Linux.
Corrección
No existe una forma directa para cifrar un volumen o una instantánea sin cifrar existente. Solo puede cifrar un nuevo volumen o instantánea al crearlo.
Si ha habilitado el cifrado de forma predeterminada, Amazon EBS cifra el nuevo volumen o la instantánea resultante utilizando la clave predeterminada para el cifrado de Amazon EBS. Aunque no haya habilitado el cifrado de forma predeterminada, puede habilitarlo al crear un volumen o una instantánea individuales. En ambos casos, puede anular la clave predeterminada para el cifrado de Amazon EBS y elegir una clave administrada por el cliente simétrica.
Para obtener más información, consulte Crear un volumen de Amazon EBS y Copiar una instantánea de Amazon EBS en la Guía del usuario de Amazon EC2 para instancias de Linux.
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)
Categoría: Identificar - Inventario
Gravedad: media
Tipo de recurso: AWS::EC2::Instance
Regla de AWS Config : ec2-stopped-instance
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Cantidad de días que se permite que la instancia de EC2 permanezca detenida antes de generar un resultado con errores. |
Entero |
De |
|
Este control comprueba si una instancia de Amazon EC2 ha estado detenida durante más días de lo permitido. Se produce un error en el control si una instancia de EC2 se detiene durante más tiempo que el máximo permitido. A menos que se proporcione un valor personalizado de parámetro para el periodo máximo permitido, Security Hub utiliza un valor predeterminado de 30 días.
Cuando una instancia de EC2 no se ha ejecutado durante un periodo significativo, se crea un riesgo de seguridad porque la instancia no se mantiene de manera activa (se analiza, se le aplican parches o se actualiza). Si se lanza más adelante, la falta de mantenimiento adecuado podría provocar problemas inesperados en su AWS entorno. Para mantener segura una instancia de EC2 a lo largo del tiempo en un estado inactivo, iníciela de manera periódica para hacer tareas de mantenimiento y deténgala después del mantenimiento. Lo ideal es que se tratara de un proceso automatizado.
Corrección
Para terminar la instancia inactiva de EC2, consulte Terminación de una instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.
[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.9, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6, CIS AWS Foundations Benchmark v1.4.0/3.9, NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AU-12, NIST.800-53.r5 3.r5 AU-2, NiSt.800-53.r5 AU-3, NiSt.800-53.r5 AU-6 (3), NiSt.800-53.r5 AU-6 (4), NiSt.800-53.r5 CA-7 (8)
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::EC2::VPC
Regla de AWS Config : vpc-flow-logs-enabled
Tipo de programa: Periódico
Parámetros:
-
trafficType:REJECT(no personalizable)
Este control comprueba si se encuentran los registros de flujo de Amazon VPC y si están habilitados para VPC. El tipo de tráfico se ha establecido como Reject.
Con la característica de VPC Flow Logs, puede utilizar los registros de flujo de la VPC para capturar información sobre el tráfico de direcciones IP entrante y saliente de las interfaces de red de su VPC. Después de crear un registro de flujo, puede ver y recuperar sus datos en CloudWatch Registros. Para reducir los costos, también puede enviar los registros de flujo a Amazon S3.
Security Hub recomienda que habilite el registro de flujo para rechazos de paquetes para VPC. Los registros de flujo proporcionan visibilidad del tráfico de red que atraviesa la VPC y pueden detectar tráfico anómalo o brindar información durante los flujos de trabajo de seguridad.
De forma predeterminada, el registro incluye valores para los distintos componentes del flujo de dirección IP, incluido el origen, el destino y el protocolo. Para obtener más información y descripciones de los campos de registro, consulte Registros de flujo de VPC en la Guía del usuario de Amazon VPC.
Corrección
Para crear un registro de flujo de VPC, consulte Crear un registro de flujo en la Guía del usuario de Amazon VPC. Tras abrir la consola de Amazon VPC, elija Sus VPC. En Filtro, elija Rechazar o Todos.
[EC2.7] El cifrado predeterminado de EBS debe estar activado
Requisitos relacionados: CIS AWS Foundations Benchmark v1.4.0/2.2.1, NIst.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-3 (6), NIst.800-53.r5 SC-13, NIst.800-53.r5 SC-28 (1), NISt.800-53.r5 SC-7 (10), NISt.800.800.r5 SC-7 (10) -53.r5 SI-7 (6)
Categoría: Proteger - Protección de datos - Cifrado de datos en reposo
Gravedad: media
Tipo de recurso: AWS::::Account
Regla de AWS Config : ec2-ebs-encryption-by-default
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si el cifrado a nivel de cuenta está habilitado de forma predeterminada para Amazon Elastic Block Store (Amazon EBS). El control falla si el cifrado a nivel de cuenta no está habilitado.
Cuando el cifrado está activado en su cuenta, los volúmenes de Amazon EBS y las copias instantáneas se cifran en reposo. Esto agrega una capa adicional de protección para sus datos. Para obtener más información, consulte Cifrado de forma predeterminada en la Guía del usuario de Amazon EC2 para instancias de Linux.
Tenga en cuenta que los siguientes tipos de instancias no admiten el cifrado: R1, C1 y M1.
Corrección
Para obtener cifrado personalizado para los volúmenes de Amazon EBS, consulte Cifrado predeterminado en la Guía del usuario de Amazon EC2 para instancias de Linux.
[EC2.8] Las instancias EC2 deben utilizar el servicio de metadatos de instancias versión 2 (IMDSv2)
Requisitos relacionados: NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6
Categoría: Proteger > Seguridad de redes
Gravedad: alta
Tipo de recurso: AWS::EC2::Instance
Regla de AWS Config : ec2-imdsv2-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la versión de metadatos de la instancia de EC2 está configurada con la versión 2 del servicio de metadatos de la instancia (IMDSv2). El control aprueba si HttpTokens está configurado como obligatorio para IMDSv2. El control tiene errores si HttpTokens está configurado como optional,
Utiliza metadatos de instancia para configurar o administrar la instancia en ejecución. El IMDS proporciona acceso a credenciales temporales que se rotan con frecuencia. Estas credenciales eliminan la necesidad de codificar o distribuir credenciales confidenciales a las instancias de forma manual o programática. El IMDS se conecta localmente a todas las instancias de EC2. Se ejecuta en una dirección IP de «enlace local» de 169.254.169.254. Solo el software que se ejecuta en la instancia puede acceder a esta dirección IP.
La versión 2 del IMDS añade nuevas protecciones para los siguientes tipos de vulnerabilidades. Estas vulnerabilidades podrían utilizarse para intentar acceder al IMDS.
-
Abra firewalls de aplicaciones de sitios web
-
Abra proxies inversos
-
Vulnerabilidades de falsificación de solicitudes del servidor (SSRF)
-
Firewalls de capa 3 abiertos y traducción de direcciones de red (NAT)
Security Hub recomienda configurar las instancias de EC2 con IMDSv2.
Corrección
Para configurar instancias EC2 con IMDSv2, consulte Ruta recomendada para requerir IMDSv2 en la Guía del usuario de Amazon EC2 para instancias de Linux.
[EC2.9] Las instancias Amazon EC2 no deben tener una dirección IPv4 pública
Requisitos relacionados: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
Categoría: Proteger > Configuración de red segura > Direcciones IP públicas
Gravedad: alta
Tipo de recurso: AWS::EC2::Instance
Regla de AWS Config : ec2-instance-no-public-ip
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las instancias EC2 tienen una dirección IP pública. El control falla si el campo publicIp está presente en el elemento de configuración de instancia EC2. Este control se aplica únicamente a las direcciones IPv4.
Una dirección IPv4 pública es una dirección IP a la que se puede tener acceso desde Internet. Si lanza la instancia con una dirección IP pública, se puede obtener acceso a la instancia de EC2 desde Internet. Una dirección IPv4 privada es una dirección IP a la que no se puede obtener acceso desde Internet. Puede utilizar direcciones IPv4 privadas para la comunicación entre las instancias EC2 de una misma VPC o en su red privada conectada.
Las direcciones IPv6 son únicas de forma global y, por lo tanto, están disponibles a través de Internet. De forma predeterminada, todas las subredes tienen el atributo de direcciones IPv6 configurado como falso. Para obtener más información sobre IPv6, consulte Direcciones IP en su VPC en la Guía del usuario de Amazon VPC.
Si tiene un caso de uso legítimo para mantener las instancias de EC2 con direcciones IP públicas, puede ocultar los resultados de este control. Para obtener más información sobre las opciones de arquitectura front-end, consulte el Blog de arquitectura de AWS
Corrección
Utilice un VPC no predeterminado para que su instancia no se asigne a una dirección IP pública de forma predeterminada.
Cuando se lanza una instancia EC2 en una VPC predeterminada, se le asigna una dirección IP pública. Al lanzar una instancia EC2 en una VPC no predeterminada, la configuración de subred determina si recibe una dirección IP pública. La subred tiene un atributo para determinar si las instancias de EC2 nuevas de la subred reciben una dirección IP pública del grupo de direcciones IPv4 públicas.
No puede asociar o desasociar manualmente una dirección IP pública asignada automáticamente desde su instancia EC2. Para controlar si su instancia EC2 recibe una dirección IP pública, haga una de las siguientes acciones:
-
Modifique el atributo de direcciones IP públicas de su subred. Para obtener más información, consulte Modificación del atributo de direcciones IPv4 públicas de su subred en la Guía del usuario de Amazon VPC.
-
Habilite o deshabilite la característica de direcciones IP públicas durante el lanzamiento. Esto anulará el atributo de direcciones IP públicas de la subred. Para obtener más información, consulte Asignación de una dirección IPv4 pública durante el lanzamiento de una instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.
Para obtener más información, consulte Direcciones IPv4 públicas y nombres de host DNS externos en la Guía del usuario de Amazon EC2 para instancias Linux.
Si su instancia EC2 no está asociada a una dirección IP elástica, a su instancia EC2 se podrá llegar desde Internet. Puede anular la asociación de una dirección IP elástica de una instancia o interfaz de red en cualquier momento. Para anular la asociación de una dirección IP elástica, consulte Anular la asociación de una dirección IP elástica en la Guía del usuario de Amazon EC2 para instancias de Linux.
[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2
Requisitos relacionados: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4)
Categoría: Proteger > Configuración de red segura > Acceso privado a la API
Gravedad: media
Tipo de recurso: AWS::EC2::VPC
Regla de AWS Config : service-vpc-endpoint-enabled
Tipo de programa: Periódico
Parámetros:
-
serviceName:ec2(no personalizable)
Este control comprueba si se ha creado un punto de conexión de servicio para Amazon EC2 para cada VPC. El control falla si una VPC no tiene un punto de conexión de VPC creado para el servicio Amazon EC2.
Este control evalúa los recursos en una sola cuenta. No puede describir los recursos que están fuera de la cuenta. Dado que AWS Config Security Hub no realiza comprobaciones entre cuentas, verá FAILED los resultados de las VPC que se comparten entre cuentas. Security Hub recomienda que suprima estos resultados establecidos como FAILED.
Para mejorar la posición de seguridad de su VPC, puede configurar Amazon EC2 para que utilice un punto de conexión de VPC de interfaz. Los puntos de enlace de la interfaz funcionan con una tecnología que le permite acceder a las operaciones de la API de Amazon EC2 de forma privada. AWS PrivateLink Restringe todo el tráfico de red entre su VPC y Amazon EC2 a la red de Amazon. Dado que los puntos de conexión solo se admiten dentro de la misma región, no se puede crear un punto de conexión entre una VPC y un servicio de otra región. Esto evita las llamadas no deseadas a la API de Amazon EC2 a otras regiones.
Para obtener más información acerca de cómo crear puntos de enlace de VPC para Amazon EC2, consulte Amazon EC2 y puntos de conexión de VPC de interfaz en la Guía del usuario de Amazon EC2 para instancias de Linux.
Corrección
Para crear un punto de conexión de interfaz para Amazon EC2 desde la consola de Amazon VPC, consulte Crear un punto de conexión de VPC en la Guía de AWS PrivateLink . En Nombre del servicio, elija com.amazonaws.region.ec2.
También puede crear y asociar una política de punto de conexión a su punto de conexión de VPC para controlar el acceso a la API de Amazon EC2. Para obtener instrucciones sobre cómo crear una política de punto de conexión de VPC, consulte Crear una política de punto de conexión en la Guía del usuario de Amazon EC2 para instancias de Linux.
[EC2.12] Los EIP EC2 de Amazon sin utilizar deben eliminarse
Requisitos relacionados: PCI DSS v3.2.1/2.4, NISt.800-53.r5 CM-8 (1)
Categoría: Proteger - Configuración de red segura
Gravedad: baja
Tipo de recurso: AWS::EC2::EIP
Regla de AWS Config : eip-attached
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las direcciones IP elásticas (EIP) que están asignadas a una VPC están asociadas a instancias EC2 o a interfaces de red elásticas (ENI) en uso.
Un error en el resultado indica que puede tener EIP de EC2 sin utilizar.
Esto le ayudará a mantener un inventario de activos de EIP preciso en su entorno de datos del titular (CDE).
Para obtener una EIP, consulte Lanzar una dirección IP elástica en la Guía del usuario de Amazon EC2 para instancias de Linux.
[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/4.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2, Nist.800-53.r5 AC-4 (21), Nist.800-53.r5 CM-7, Nist.800-53.r5 SC-7, NiSt.NiSt.800-53.r5 SC-7 (11), NiSt.800-53.r5 SC-7 (16), NiSt.800-53.r5 SC-7 (21), NiSt.800-53.r5 SC-7 (5)
Categoría: Proteger - Configuración de red segura
Gravedad: alta
Tipo de recurso: AWS::EC2::SecurityGroup
Regla de AWS Config : restricted-ssh
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de seguridad de Amazon EC2 permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 22. Se produce un error en el control si el grupo de seguridad permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 22.
Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . Recomendamos que ningún grupo de seguridad permita el acceso de entrada ilimitado al puerto 22. La eliminación de la conectividad libre a los servicios de la consola a distancia, como SSH, reduce la exposición al riesgo del servidor.
Corrección
Para prohibir la entrada al puerto 22, elimine la regla que permite dicho acceso a cada grupo de seguridad asociado a una VPC. Para obtener instrucciones, consulte Actualizar reglas del grupo de seguridad en la Guía del usuario de Amazon VPC. Tras seleccionar un grupo de seguridad en la consola de Amazon VPC, elija Acciones y editar reglas de entrada. Elimine la regla que permite el acceso al puerto 22.
[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/4.2
Categoría: Proteger - Configuración de red segura
Gravedad: alta
Tipo de recurso: AWS::EC2::SecurityGroup
AWS Config regla: restricted-common-ports(la regla creada es) restricted-rdp
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de seguridad de Amazon EC2 permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389. Se produce un error en el control si el grupo de seguridad permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389.
Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . Recomendamos que ningún grupo de seguridad permita el acceso de entrada ilimitado al puerto 3389. La eliminación de la conectividad libre a los servicios de la consola a distancia, como RDP, reduce la exposición al riesgo del servidor.
Corrección
Para prohibir la entrada al puerto 3389, elimine la regla que permite dicho acceso a cada grupo de seguridad asociado a una VPC. Para obtener instrucciones, consulte Actualizar reglas del grupo de seguridad en la Guía del usuario de Amazon VPC. Tras seleccionar un grupo de seguridad en la consola de Amazon VPC, elija Acciones y editar reglas de entrada. Elimine la regla que permite el acceso al puerto 3389.
[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas
Requisitos relacionados: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
Categoría: Proteger > Seguridad de redes
Gravedad: media
Tipo de recurso: AWS::EC2::Subnet
Regla de AWS Config : subnet-auto-assign-public-ip-disabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la asignación de IP públicas en las subredes de Amazon Virtual Private Cloud (Amazon VPC) tienen MapPublicIpOnLaunch establecido como FALSE. El control pasa si el indicador está establecido como FALSE.
Todas las subredes tienen un atributo que determina si una interfaz de red creada en la subred recibe automáticamente una dirección IPv4 pública. Las instancias que se lanzan a subredes que tienen este atributo habilitado tienen una dirección IP pública asignada a su interfaz de red principal.
Corrección
Para configurar una subred de forma que no asigne direcciones IP públicas, consulte Modificación del atributo de direcciones IPv4 públicas de su subred en la Guía del usuario de Amazon VPC. Desactive la casilla Habilitar la asignación automática de direcciones IPv4 públicas.
[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas
Requisitos relacionados: NIST.800-53.r5 CM-8(1)
Categoría: Prevenir > Seguridad de la red
Gravedad: baja
Tipo de recurso: AWS::EC2::NetworkAcl
Regla de AWS Config : vpc-network-acl-unused-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si hay alguna lista de control de acceso (ACL) de red de no utilizada.
El control comprueba la configuración de elementos del recurso de AWS::EC2::NetworkAcl y determina las relaciones de la ACL de la red.
Si la única relación es la VPC de la ACL de la red, se produce un error en el control.
Si se enumeran otras relaciones, el control pasa.
Corrección
Para obtener instrucciones sobre cómo eliminar una ACL de red no utilizada, consulte Eliminar una ACL de red en la Guía del usuario de Amazon VPC. No puede eliminar la ACL de red predeterminada ni una ACL asociada a subredes.
[EC2.17] Las instancias de Amazon EC2 no deben usar varios ENI
Requisitos relacionados: NIST.800-53.r5 AC-4(21)
Categoría: Seguridad de redes
Gravedad: baja
Tipo de recurso: AWS::EC2::Instance
Regla de AWS Config : ec2-instance-multiple-eni-check
Tipo de horario: provocado por un cambio
Parámetros:
-
Adapterids: una lista de identificadores de interfaz de red que se adjuntan a las instancias de EC2 (no personalizable)
Este control comprueba si una instancia EC2 utiliza varias interfaces de red elásticas (ENI) o adaptadores de estructura elástica (EFA). Este control se ejecuta si se utiliza un único adaptador de red. El control incluye una lista de parámetros opcional para identificar los ENI permitidos. Este control también falla si una instancia EC2 que pertenece a un clúster de Amazon EKS utiliza más de un ENI. Si sus instancias EC2 necesitan tener varios ENI como parte de un clúster de Amazon EKS, puede suprimir esos resultados de control.
Si hay varios ENI, se pueden crear instancias de doble host, es decir, instancias que tienen varias subredes. Esto puede añadir complejidad a la seguridad de la red e introducir rutas y accesos a la red no deseados.
Corrección
Para separar una interfaz de red de una instancia EC2, consulte Separar una interfaz de red de una instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.
[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(5)
Categoría: Proteger > Configuración de red segura > Configuración de grupos de seguridad
Gravedad: alta
Tipo de recurso: AWS::EC2::SecurityGroup
Regla de AWS Config : vpc-sg-open-only-to-authorized-ports
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Lista de puertos TCP autorizados |
IntegerList (máximo de 32 artículos) |
De |
|
|
|
Lista de puertos UDP autorizados |
IntegerList (máximo de 32 artículos) |
De |
Sin valor predeterminado |
Este control comprueba si un grupo de seguridad de Amazon EC2 permite el tráfico entrante sin restricciones de puertos no autorizados. El estado de control se determina de la siguiente manera:
-
Si se utiliza el valor predeterminado para
authorizedTcpPorts, se producirá un error en el control si el grupo de seguridad permite el tráfico entrante sin restricciones de cualquier puerto que no sea el 80 ni el 443. -
Si proporciona valores personalizados para
authorizedTcpPortsoauthorizedUdpPorts, se producirá un error en el control si el grupo de seguridad permite el tráfico entrante sin restricciones de cualquier puerto que no figure en la lista. -
Si no se utiliza ningún parámetro, se produce un error en el control de los grupos de seguridad que tengan una regla de tráfico entrante sin restricciones.
Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a AWS. Las reglas de los grupos de seguridad deben seguir el principio del acceso con menos privilegios. El acceso sin restricciones (dirección IP con el sufijo /0) aumenta las posibilidades de que se produzcan actividades malintencionadas, como hackeos, denial-of-service ataques y pérdida de datos. A menos que se permita específicamente un puerto, dicho puerto debería denegar el acceso sin restricciones.
Corrección
Para modificar un grupo de seguridad, consulte Trabajo con grupos de seguridad en la Guía del usuario de Amazon VPC.
[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(5)
Categoría: Proteger > Acceso restringido a la red
Gravedad: crítica
Tipo de recurso: AWS::EC2::SecurityGroup
AWS Config regla: restricted-common-ports(la regla creada es) vpc-sg-restricted-common-ports
Tipo de horario: provocado por un cambio
Parámetros: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (no personalizables)
Este control comprueba si el tráfico entrante sin restricciones de un grupo de seguridad de Amazon EC2 es accesible para los puertos especificados que se consideran de mayor riesgo. Este control falla si alguna de las reglas de un grupo de seguridad permite la entrada de tráfico desde “0.0.0.0/0” o “::/0” a esos puertos.
Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . El acceso sin restricciones (0.0.0.0/0) aumenta las posibilidades de que se produzcan actividades maliciosas, como la piratería informática, denial-of-service los ataques y la pérdida de datos. Ningún grupo de seguridad debe permitir el acceso de entrada sin restricciones a los siguientes puertos:
-
20, 21 (FTP)
-
22 (SSH)
-
23 (Telnet)
-
25 (SMTP)
-
110 (POP3)
-
135 (RPC)
-
143 (IMAP)
-
445 (CIFS)
-
1433, 1434 (MSSQL)
-
3000 (marcos de desarrollo web Go, Node.js y Ruby)
-
3306 (MySQL)
-
3389 (RDP)
-
4333 (ahsp)
-
5000 (marcos de desarrollo web Python)
-
5432 (postgresql)
-
5500 fcp-addr-srvr (1)
-
5601 (OpenSearch paneles de control)
-
8080 (proxy)
-
8088 (puerto HTTP antiguo)
-
8888 (puerto HTTP alternativo)
-
9200 o 9300 () OpenSearch
Corrección
Para eliminar reglas de un grupo de seguridad, consulte Eliminar reglas de un grupo de seguridad en la Guía del usuario de Amazon EC2 para instancias de Linux.
[EC2.20] Los dos túneles VPN de una conexión VPN de AWS Site-to-Site deberían estar activos
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoría: Resiliencia > Recuperación > Alta disponibilidad
Gravedad: media
Tipo de recurso:AWS::EC2::VPNConnection
Regla de AWS Config : vpc-vpn-2-tunnels-up
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Un túnel VPN es un enlace cifrado por el que los datos pueden pasar desde la red del cliente hacia o desde una conexión AWS VPN de AWS Site-to-Site. Cada conexión de VPN incluye dos túneles de VPN que puede utilizar simultáneamente para conseguir alta disponibilidad. Asegurarse de que ambos túneles VPN estén activos para una conexión VPN es importante para confirmar una conexión segura y de alta disponibilidad entre una AWS VPC y su red remota.
Este control comprueba que los dos túneles VPN proporcionados por AWS Site-to-Site VPN estén en estado activo. El control falla si uno o ambos túneles están en estado INACTIVO.
Corrección
Para modificar las opciones del túnel VPN, consulte Modificación de las opciones del túnel VPN de sitio a sitio en la Guía del usuario de VPN de sitio a sitio. AWS
[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389
Requisitos relacionados: CIS AWS Foundations Benchmark v1.4.0/5.1, NIst.800-53.r5 AC-4 (21), niST.800-53.r5 CA-9 (1), niST.800-53.r5 CM-2 (2), niST.800-53.r5 CM-7, NIst.800-53.r5 SC-7, NIst.800-53.r5 SC-7, NIst.800-53.r5 SC-7 (21), NiST.800-53.r5 SC-7 (5)
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso:AWS::EC2::NetworkAcl
Regla de AWS Config : nacl-no-unrestricted-ssh-rdp
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una lista de control de acceso a la red (NACL) permite el acceso sin restricciones a los puertos TCP predeterminados para el tráfico de entrada SSH/RDP. La regla no funciona si una entrada entrante de NACL permite un bloque CIDR de origen de '0.0.0.0/0' o ': :/0' para los puertos TCP 22 o 3389.
El acceso a los puertos de administración remota del servidor, como el puerto 22 (SSH) y el puerto 3389 (RDP), no debe ser de acceso público, ya que esto puede permitir el acceso no deseado a los recursos de la VPC.
Corrección
Para obtener más información acerca de NACL, consulte ACL de red en la Guía del usuario de VPC.
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
importante
RETIRADO DE ESTÁNDARES ESPECÍFICOS: Security Hub eliminó este control el 20 de septiembre de 2023 del estándar AWS Foundational Security Best Practices y del NIST SP 800-53 Rev. 5. Este control sigue formando parte del estándar de gestión de servicios:. AWS Control Tower Este control de produce un resultado aprobado si los grupos de seguridad están conectados a instancias EC2 o a una interfaz de red elástica. Sin embargo, en algunos casos de uso, los grupos de seguridad independientes no representan un riesgo para la seguridad. Puede usar otros controles de EC2, como EC2.2, EC2.13, EC2.14, EC2.18 y EC2.19, para supervisar sus grupos de seguridad.
Categoría: Identificar - Inventario
Gravedad: media
Tipo de recurso:AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup
Regla de AWS Config : ec2-security-group-attached-to-eni-periodic
Tipo de programa: Periódico
Parámetros: ninguno
Este AWS control comprueba que los grupos de seguridad estén conectados a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) o a una interfaz de red elástica. El control fallará si el grupo de seguridad no está asociado a una instancia de Amazon EC2 o a una interfaz de red elástica.
Corrección
Para crear, asignar y eliminar grupos de seguridad, consulte la guía del usuario de Grupos de seguridad en Amazon EC2.
[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC
Requisitos relacionados: NIST.800-53.r5 AC-4(21), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
Categoría: Proteger - Configuración de red segura
Gravedad: alta
Tipo de recurso:AWS::EC2::TransitGateway
Regla de AWS Config : ec2-transit-gateway-auto-vpc-attach-disabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las pasarelas de tránsito de EC2 aceptan automáticamente adjuntos de VPC compartidos. Este control falla en el caso de una pasarela de tránsito que acepta automáticamente las solicitudes de adjuntos de VPC compartidas.
Al activar AutoAcceptSharedAttachments se configura una pasarela de tránsito para que acepte automáticamente cualquier solicitud de adjunto de VPC multicuenta sin verificar la solicitud o la cuenta desde la que se origina el archivo adjunto. Para seguir las prácticas recomendadas de autorización y autenticación, recomendamos desactivar esta característica para garantizar que solo se acepten las solicitudes de adjuntos de VPC autorizadas.
Corrección
Para modificar una puerta de enlace de tránsito, consulte Modificación de una puerta de enlace de tránsito en la Guía para desarrolladores de Amazon VPC.
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
Requisitos relacionados: NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)
Categoría: Identificar > Administración de vulnerabilidades, parches y versiones
Gravedad: media
Tipo de recurso:AWS::EC2::Instance
Regla de AWS Config : ec2-paravirtual-instance-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el tipo de virtualización de una instancia EC2 es paravirtual. El control falla si virtualizationType de la instancia EC2 está configurada como paravirtual.
Las Imágenes de máquina de Amazon (AMI) de Linux utilizan uno de los dos tipos de virtualización: paravirtual (PV) o máquina virtual de hardware (HVM). Las principales diferencias entre las AMI PV y HVM son el modo de arranque y si admiten extensiones de hardware especiales (CPU, red y almacenamiento) para mejorar su rendimiento.
Antes, el rendimiento de los invitados PV era mejor que el de los invitados HVM en muchos casos, pero esto ya no es así debido a las mejoras de la virtualización HVM y a la disponibilidad de controladores PV para AMI HVM. Para obtener más información, consulte Tipos de virtualización de AMI de Linux en la Guía del usuario de instancias de Linux de Amazon EC2.
Corrección
Para actualizar una instancia EC2 a un nuevo tipo de instancia, consulte Cambiar el tipo de instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.
[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar direcciones IP públicas a las interfaces de red
Requisitos relacionados: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente
Gravedad: alta
Tipo de recurso:AWS::EC2::LaunchTemplate
Regla de AWS Config : ec2-launch-template-public-ip-disabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las plantillas de lanzamiento de Amazon EC2 están configuradas para asignar direcciones IP públicas a las interfaces de red en el momento del lanzamiento. El control falla si una plantilla de lanzamiento de EC2 está configurada para asignar una dirección IP pública a las interfaces de red o si hay al menos una interfaz de red que tiene una dirección IP pública.
Una dirección IP pública es una dirección a la que se puede tener acceso desde Internet. Si configura las interfaces de red con una dirección IP pública, es posible que se pueda acceder a los recursos asociados a esas interfaces de red desde Internet. Los recursos de EC2 no deberían ser de acceso público, ya que esto podría permitir el acceso no deseado a sus cargas de trabajo.
Corrección
Para actualizar una plantilla de lanzamiento de EC2, consulte Cambiar la configuración predeterminada de la interfaz de red en la Guía del usuario de Amazon EC2 Auto Scaling.
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad
Categoría: Recuperación > Resiliencia > Respaldos habilitados
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)
Gravedad: baja
Tipo de recurso: AWS::EC2::Volume
AWS Config regla: ebs-resources-protected-by-backup-plan
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
El control produce un |
Booleano |
|
Sin valor predeterminado |
Este control evalúa si un volumen de Amazon EBS en el estado in-use está cubierto por un plan de copias de seguridad. Se produce un error en el control si un volumen de Amazon EBS no está cubierto por un plan de copias de seguridad. Si establece el backupVaultLockCheck parámetro en un valor igual atrue, el control solo se activará si el volumen de EBS está guardado en un almacén AWS Backup cerrado con llave.
Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resiliencia de sus sistemas. La inclusión de los volúmenes de Amazon EBS en un plan de copias de seguridad le ayuda a proteger sus datos contra pérdidas o eliminaciones involuntarias.
Corrección
Para añadir un volumen de Amazon EBS a un plan de AWS Backup backup, consulte Asignación de recursos a un plan de backup en la Guía para AWS Backup desarrolladores.
[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes
Requisitos relacionados: NIST.800-53.r5 AC-2(12), NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)
Categoría: Identificar - Registro
Gravedad: baja
Tipo de recurso: AWS::EC2::ClientVpnEndpoint
AWS Config regla: ec2-client-vpn-connection-log-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un AWS Client VPN punto final tiene habilitado el registro de conexiones de clientes. Se produce un error en el control si el punto de conexión no tiene habilitado el registro de conexiones de clientes.
Los puntos de conexión de Client VPN permiten a los clientes remotos conectarse de manera segura a los recursos de una nube privada virtual (VPC) en AWS. Los registros de conexión permiten hacer un seguimiento de la actividad de los usuarios en el punto de conexión de la VPN y proporcionan visibilidad. Cuando habilita el registro de conexión, puede especificar el nombre de una secuencia de registros en el grupo de registros. Si no se especifica ningún flujo de registros, el servicio Client VPN crea uno automáticamente.
Corrección
Para habilitar el registro de conexión, consulte Habilitación del registro de conexión en un punto de conexión de Client VPN existente en la Guía del administrador de AWS Client VPN .
