Controles de Security Hub para Amazon EC2

Estos AWS Security Hub controles evalúan el servicio y los recursos de Amazon Elastic Compute Cloud (AmazonEC2).

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[EC2.1] EBS Las instantáneas de Amazon no deberían poder restaurarse públicamente

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7),, (21),, (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (3) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoría: Proteger - Configuración de red segura

Gravedad: crítica

Tipo de recurso: AWS::::Account

Regla de AWS Config : ebs-snapshot-public-restorable-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si las instantáneas de Amazon Elastic Block Store no son públicas. El control falla si cualquier persona puede restaurar las EBS instantáneas de Amazon.

EBSlas instantáneas se utilizan para realizar copias de seguridad de los datos de sus EBS volúmenes en Amazon S3 en un momento específico. Puede utilizar las instantáneas para restaurar los estados anteriores de EBS los volúmenes. Rara vez es aceptable compartir una instantánea con el público. Por lo general, la decisión de compartir una instantánea públicamente se toma por error o sin una comprensión completa de las consecuencias. Esta comprobación ayuda a garantizar que todos esos intercambios se planificaron y son intencionados.

Para convertir una EBS instantánea pública en privada, consulta Compartir una instantánea en la Guía del EC2 usuario de Amazon. En Acciones, Modificar permisos, seleccione Privado.

[EC2.2] Los grupos de seguridad VPC predeterminados no deberían permitir el tráfico entrante o saliente

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, v3.2.1/2.1, Foundations Benchmark PCI DSS v1.2.0/4.3, CIS AWS Foundations Benchmark v1.4.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.4, (21), (21), (21), CIS AWS (21), (5) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoría: Proteger - Configuración de red segura

Gravedad: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config : vpc-default-security-group-closed

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si el grupo de VPC seguridad predeterminado de a permite el tráfico entrante o saliente. El control falla si el grupo de seguridad permite el tráfico entrante o saliente.

Las reglas del grupo de seguridad predeterminado permiten todo el tráfico saliente y entrante de las interfaces de red (y de sus instancias asociadas) asignadas al mismo grupo de seguridad. Le recomendamos que no utilice el grupo de seguridad predeterminado. Dado que el grupo de seguridad predeterminado no se puede eliminar, debería cambiar la configuración de reglas de grupo de seguridad predeterminada para restringir el tráfico entrante y saliente. Esto evita el tráfico no deseado si el grupo de seguridad predeterminado se configura accidentalmente para recursos como instancias. EC2

Corrección

Para solucionar este problema, comience por crear nuevos grupos de seguridad con privilegios mínimos. Para obtener instrucciones, consulte Crear un grupo de seguridad en la Guía del VPC usuario de Amazon. A continuación, asigne los nuevos grupos de seguridad a sus EC2 instancias. Para obtener instrucciones, consulta Cambiar el grupo de seguridad de una instancia en la Guía del EC2 usuario de Amazon.

Tras asignar los nuevos grupos de seguridad a sus recursos, elimine todas las reglas de entrada y salida de los grupos de seguridad predeterminados. Para obtener instrucciones, consulta Eliminar reglas de grupos de seguridad en la Guía del VPC usuario de Amazon.

[EC2.3] EBS Los volúmenes adjuntos de Amazon deben cifrarse en reposo

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::EC2::Volume

Regla de AWS Config : encrypted-volumes

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los EBS volúmenes que están conectados están cifrados. Para superar esta comprobación, EBS los volúmenes deben estar en uso y cifrados. Si el EBS volumen no está adjunto, no está sujeto a esta comprobación.

Para aumentar la seguridad de sus datos confidenciales en EBS volúmenes, debe habilitar el EBS cifrado en reposo. El EBS cifrado de Amazon ofrece una solución de cifrado sencilla para sus EBS recursos que no requiere que cree, mantenga y proteja su propia infraestructura de administración de claves. Utiliza KMS claves al crear volúmenes e instantáneas cifrados.

Para obtener más información sobre el EBS cifrado de Amazon, consulta el EBScifrado de Amazon en la Guía del EC2 usuario de Amazon.

Corrección

No existe una forma directa para cifrar un volumen o una instantánea sin cifrar existente. Solo puede cifrar un nuevo volumen o instantánea al crearlo.

Si has activado el cifrado de forma predeterminada, Amazon EBS cifra el nuevo volumen o instantánea resultante con tu clave predeterminada para el EBS cifrado de Amazon. Aunque no haya habilitado el cifrado de forma predeterminada, puede habilitarlo al crear un volumen o una instantánea individuales. En ambos casos, puedes anular la clave predeterminada para el EBS cifrado de Amazon y elegir una clave simétrica gestionada por el cliente.

Para obtener más información, consulta Crear un EBS volumen de Amazon y Copiar una EBS instantánea de Amazon en la Guía del EC2 usuario de Amazon.

[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoría: Identificar - Inventario

Gravedad: media

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config : ec2-stopped-instance

Tipo de programa: Periódico

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`AllowedDays`	Número de días que la EC2 instancia puede permanecer detenida antes de generar un resultado fallido.	Entero	De `1` a `365`	`30`

Este control comprueba si una EC2 instancia de Amazon ha estado detenida durante más tiempo del permitido. El control falla si una EC2 instancia se detiene durante más tiempo que el período de tiempo máximo permitido. A menos que se proporcione un valor personalizado de parámetro para el periodo máximo permitido, Security Hub utiliza un valor predeterminado de 30 días.

Cuando una EC2 instancia no se ha ejecutado durante un período de tiempo significativo, se crea un riesgo de seguridad porque la instancia no se mantiene activamente (se analiza, se parchea, se actualiza). Si se lanza más adelante, la falta de un mantenimiento adecuado podría provocar problemas inesperados en su AWS entorno. Para mantener una EC2 instancia inactiva de forma segura a lo largo del tiempo, iníciela periódicamente para realizar tareas de mantenimiento y, a continuación, deténgala después del mantenimiento. Lo ideal es que se tratara de un proceso automatizado.

Corrección

Para terminar una EC2 instancia inactiva, consulta Terminar una instancia en la Guía del EC2 usuario de Amazon.

[EC2.6] El registro VPC de flujos debe estar habilitado en todas VPCs

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.9, Foundations Benchmark v1.4.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.7, v3.2.1/10.3.3, CIS AWS v3.2.1/10.3.4, v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6, (26),, .800-53.r5 SI-7 (8) PCI DSS PCI DSS PCI DSS NIST.800-53.r5 AC-4 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::EC2::VPC

Regla de AWS Config : vpc-flow-logs-enabled

Tipo de programa: Periódico

Parámetros:

trafficType: REJECT (no personalizable)

Este control comprueba si Amazon VPC Flow Logs se encuentra y está activado paraVPCs. El tipo de tráfico se ha establecido como Reject. El control falla si los registros de VPC flujo no están habilitados VPCs en su cuenta.

nota

Este control no comprueba si Amazon VPC Flow Logs está habilitado a través de Amazon Security Lake para Cuenta de AWS.

Con la función VPC Flow Logs, puede capturar información sobre el tráfico de direcciones IP que entra y sale de las interfaces de red de su empresaVPC. Tras crear un registro de flujo, puede ver y recuperar sus datos en los CloudWatch registros. Para reducir los costos, también puede enviar los registros de flujo a Amazon S3.

Security Hub recomienda habilitar el registro de flujo para los paquetes rechazados paraVPCs. Los registros de flujo proporcionan visibilidad del tráfico de la red que atraviesa la red VPC y pueden detectar el tráfico anómalo o proporcionar información durante los flujos de trabajo de seguridad.

De forma predeterminada, el registro incluye valores para los distintos componentes del flujo de dirección IP, incluido el origen, el destino y el protocolo. Para obtener más información y descripciones de los campos de registro, consulta VPCFlow Logs en la Guía del VPC usuario de Amazon.

Corrección

Para crear un registro de VPC flujo, consulta Crear un registro de flujo en la Guía del VPC usuario de Amazon. Después de abrir la VPC consola de Amazon, selecciona Your VPCs. En Filtro, elija Rechazar o Todos.

[EC2.7] EBS El cifrado predeterminado debe estar activado

Requisitos relacionados: CIS AWS Foundations Benchmark v1.4.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.2.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), .800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6) NIST.800-53.r5 SC-7 NIST

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : ec2-ebs-encryption-by-default

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si el cifrado a nivel de cuenta está habilitado de forma predeterminada para Amazon Elastic Block Store (AmazonEBS). El control falla si el cifrado a nivel de cuenta no está habilitado.

Cuando el cifrado está activado en tu cuenta, EBS los volúmenes y copias instantáneas de Amazon se cifran en reposo. Esto agrega una capa adicional de protección para sus datos. Para obtener más información, consulte Cifrado predeterminado en la Guía del EC2 usuario de Amazon.

Tenga en cuenta que los siguientes tipos de instancias no admiten el cifrado: R1, C1 y M1.

Corrección

Para configurar el cifrado predeterminado para los EBS volúmenes de Amazon, consulte Cifrado predeterminado en la Guía del EC2 usuario de Amazon.

[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/5.6, NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

Categoría: Proteger > Seguridad de red

Gravedad: alta

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config : ec2-imdsv2-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si la versión de metadatos de la EC2 instancia está configurada con la versión 2 (IMDSv2) del servicio de metadatos de la instancia. El control pasa si HttpTokens está configurado como obligatorio paraIMDSv2. El control tiene errores si HttpTokens está configurado como optional,

Utiliza metadatos de instancia para configurar o administrar la instancia en ejecución. IMDSProporciona acceso a credenciales temporales que se rotan con frecuencia. Estas credenciales eliminan la necesidad de codificar o distribuir credenciales confidenciales a las instancias de forma manual o programática. IMDSSe adjunta localmente a cada EC2 instancia. Se ejecuta en una dirección IP de «enlace local» de 169.254.169.254. Solo el software que se ejecuta en la instancia puede acceder a esta dirección IP.

La versión 2 IMDS añade nuevas protecciones para los siguientes tipos de vulnerabilidades. Estas vulnerabilidades podrían usarse para intentar acceder alIMDS.

Abra firewalls de aplicaciones de sitios web
Abra proxies inversos
Vulnerabilidades de falsificación de solicitudes () del lado del servidor SSRF
Firewalls de capa 3 abiertos y traducción de direcciones de red () NAT

Security Hub recomienda configurar EC2 las instancias conIMDSv2.

Corrección

Para configurar EC2 instancias conIMDSv2, consulte Ruta recomendada para requerir IMDSv2 en la Guía del EC2 usuario de Amazon.

[EC2.9] EC2 Las instancias de Amazon no deben tener una dirección pública IPv4

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente

Gravedad: alta

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config : ec2-instance-no-public-ip

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si EC2 las instancias tienen una dirección IP pública. El control falla si el publicIp campo está presente en el elemento de configuración de la EC2 instancia. Este control se aplica únicamente a IPv4 las direcciones.

Una IPv4 dirección pública es una dirección IP a la que se puede acceder desde Internet. Si lanzas la instancia con una dirección IP pública, se puede acceder a ella desde Internet. EC2 Una IPv4 dirección privada es una dirección IP a la que no se puede acceder desde Internet. Puedes usar IPv4 direcciones privadas para la comunicación entre EC2 instancias de la misma red privada VPC o de la red privada conectada.

IPv6las direcciones son únicas a nivel mundial y, por lo tanto, se puede acceder a ellas desde Internet. Sin embargo, de forma predeterminada, todas las subredes tienen el atributo de IPv6 direccionamiento establecido en false. Para obtener más información al respectoIPv6, consulta la dirección IP VPC en la Guía del VPC usuario de Amazon.

Si tienes un caso de uso legítimo para mantener EC2 instancias con direcciones IP públicas, puedes ocultar las conclusiones de este control. Para obtener más información sobre las opciones de arquitectura de front-end, consulte el blog de AWS arquitectura o la serie de AWS vídeos This Is My Architecture.

Corrección

Utilice una dirección IP no predeterminada VPC para que a la instancia no se le asigne una dirección IP pública de forma predeterminada.

Cuando lanzas una EC2 instancia a una predeterminadaVPC, se le asigna una dirección IP pública. Cuando lanzas una EC2 instancia en una instancia que no es la predeterminadaVPC, la configuración de subred determina si recibe una dirección IP pública. La subred tiene un atributo para determinar si las nuevas EC2 instancias de la subred reciben una dirección IP pública del conjunto de direcciones públicas. IPv4

No puedes asociar ni desasociar manualmente de tu instancia una dirección IP pública asignada automáticamente. EC2 Para controlar si tu EC2 instancia recibe una dirección IP pública, realiza una de las siguientes acciones:

Modifique el atributo de direcciones IP públicas de su subred. Para obtener más información, consulte Modificación del atributo de IPv4 direccionamiento público de su subred en la Guía del VPC usuario de Amazon.
Habilite o deshabilite la característica de direcciones IP públicas durante el lanzamiento. Esto anulará el atributo de direcciones IP públicas de la subred. Para obtener más información, consulta Asignar una IPv4 dirección pública durante el lanzamiento de una instancia en la Guía del EC2 usuario de Amazon.

Para obtener más información, consulta IPv4Direcciones públicas y DNS nombres de servidor externos en la Guía del EC2 usuario de Amazon.

Si la EC2 instancia está asociada a una dirección IP elástica, se puede acceder a ella desde Internet. EC2 Puede anular la asociación de una dirección IP elástica de una instancia o interfaz de red en cualquier momento. Para desasociar una dirección IP elástica, consulte Desasociar una dirección IP elástica en la Guía del EC2usuario de Amazon.

[EC2.10] Amazon EC2 debe configurarse para usar VPC puntos de conexión creados para el servicio de Amazon EC2

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

Categoría: Proteger > Configuración de red segura > Acceso API privado

Gravedad: media

Tipo de recurso: AWS::EC2::VPC

Regla de AWS Config : service-vpc-endpoint-enabled

Tipo de programa: Periódico

Parámetros:

serviceName: ec2 (no personalizable)

Este control comprueba si se ha creado un punto final de servicio para Amazon EC2 para cada unoVPC. El control falla si a VPC no se ha creado un VPC punto final para el EC2 servicio de Amazon.

Este control evalúa los recursos en una sola cuenta. No puede describir los recursos que están fuera de la cuenta. Dado que AWS Config Security Hub no realiza comprobaciones entre cuentas, verá VPCs que FAILED los resultados se comparten entre cuentas. Security Hub recomienda que suprima estos resultados establecidos como FAILED.

Para mejorar su postura de seguridadVPC, puede configurar Amazon EC2 para que utilice un VPC punto final de interfaz. Los puntos de conexión de la interfaz funcionan con una tecnología que le permite acceder a EC2 API las operaciones de Amazon de forma privada. AWS PrivateLink Restringe todo el tráfico de red entre tú VPC y Amazon EC2 a la red de Amazon. Como los puntos de enlace solo se admiten en la misma región, no puedes crear un punto de enlace entre un VPC y un servicio de una región diferente. Esto evita las EC2 API llamadas no deseadas de Amazon a otras regiones.

Para obtener más información sobre la creación de VPC puntos de enlace para AmazonEC2, consulta Amazon EC2 y VPC puntos de enlace de interfaz en la Guía EC2del usuario de Amazon.

Corrección

Para crear un punto de enlace de interfaz para Amazon EC2 desde la VPC consola de Amazon, consulte Crear un VPC punto de enlace en la AWS PrivateLink guía. Para el nombre del servicio, selecciona com.amazonaws.region.ec2.

También puedes crear y adjuntar una política de punto final a tu VPC punto final para controlar el acceso a Amazon EC2API. Para obtener instrucciones sobre cómo crear una política VPC de puntos finales, consulta Cómo crear una política de puntos finales en la Guía del EC2 usuario de Amazon.

[EC2.12] Amazon no utilizado EC2 EIPs debería retirarse

Requisitos relacionados: PCI DSS v3.2.1/2.4, .800-53.r5 CM-8 (1) NIST

Categoría: Proteger - Configuración de red segura

Gravedad: baja

Tipo de recurso: AWS::EC2::EIP

Regla de AWS Config : eip-attached

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si las direcciones IP elásticas (EIP) asignadas a a VPC están conectadas a instancias o a interfaces de red elásticas en uso (). EC2 ENIs

Si se detecta un error, es posible que no las haya utilizado EC2EIPs.

Esto le ayudará a mantener un inventario preciso de los activos de EIPs su entorno de datos de titulares de tarjetas (CDE).

Para liberar una dirección IP no utilizadaEIP, consulte Liberar una dirección IP elástica en la Guía del EC2 usuario de Amazon.

[EC2.13] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 22

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/4.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, v3.2.1/2.2.2, (21), (11), (16), (21), PCI DSS (4), (5) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoría: Proteger - Configuración de red segura

Gravedad: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config : restricted-ssh

Tipo de cronograma: provocado por cambios y periódico

Parámetros: ninguno

Este control comprueba si un grupo de EC2 seguridad de Amazon permite la entrada desde 0.0.0.0/0 o: :/0 al puerto 22. Se produce un error en el control si el grupo de seguridad permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 22.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . Recomendamos que ningún grupo de seguridad permita el acceso de entrada ilimitado al puerto 22. Al eliminar la conectividad sin restricciones a los servicios de consola remota, por ejemplo, se reduce la exposición del servidor a los riesgosSSH.

Corrección

Para prohibir la entrada al puerto 22, elimine la regla que permite dicho acceso a cada grupo de seguridad asociado a un. VPC Para obtener instrucciones, consulta Actualizar las reglas de los grupos de seguridad en la Guía del EC2 usuario de Amazon. Tras seleccionar un grupo de seguridad en la EC2 consola de Amazon, selecciona Acciones y edita reglas de entrada. Elimine la regla que permite el acceso al puerto 22.

[EC2.14] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 3389

Requisitos relacionados CIS AWS : Foundations Benchmark v1.2.0/4.2

Categoría: Proteger - Configuración de red segura

Gravedad: alta

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regla: restricted-common-ports(la regla creada es) restricted-rdp

Tipo de programación: se desencadena por cambios y es periódico

Parámetros: ninguno

Este control comprueba si un grupo de EC2 seguridad de Amazon permite la entrada desde 0.0.0.0/0 o: :/0 al puerto 3389. Se produce un error en el control si el grupo de seguridad permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . Recomendamos que ningún grupo de seguridad permita el acceso de entrada ilimitado al puerto 3389. Al eliminar la conectividad sin restricciones a los servicios de consola remota, por ejemplo, se reduce la exposición del servidor a los riesgos. RDP

Corrección

Para prohibir la entrada al puerto 3389, elimine la regla que permite dicho acceso a cada grupo de seguridad asociado a un. VPC Para obtener instrucciones, consulta Actualizar las reglas de los grupos de seguridad en la Guía del VPC usuario de Amazon. Tras seleccionar un grupo de seguridad en Amazon VPC Console, selecciona Acciones y edita reglas de entrada. Elimine la regla que permite el acceso al puerto 3389.

[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)

Categoría: Proteger > Seguridad de la red

Gravedad: media

Tipo de recurso: AWS::EC2::Subnet

Regla de AWS Config : subnet-auto-assign-public-ip-disabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si la asignación de lo público IPs en las subredes de Amazon Virtual Private Cloud (AmazonVPC) MapPublicIpOnLaunch se ha establecido en. FALSE El control pasa si el indicador está establecido como FALSE.

Todas las subredes tienen un atributo que determina si una interfaz de red creada en la subred recibe automáticamente una dirección pública. IPv4 Las instancias que se lanzan a subredes que tienen este atributo habilitado tienen una dirección IP pública asignada a su interfaz de red principal.

Corrección

Para configurar una subred para que no asigne direcciones IP públicas, consulte Modificar el atributo de IPv4 direccionamiento público de su subred en la Guía VPCdel usuario de Amazon. Desactive la casilla Habilitar la asignación automática de IPv4 direcciones públicas.

[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas

Requisitos relacionados: NIST .800-53.r5 CM-8 (1)

Categoría: Proteger > Seguridad de red

Gravedad: baja

Tipo de recurso: AWS::EC2::NetworkAcl

Regla de AWS Config : vpc-network-acl-unused-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si hay listas de control de acceso a la red (redACLs) no utilizadas en su nube privada virtual (VPC). El control falla si la red ACL no está asociada a una subred. El control no genera resultados para una red ACL predeterminada no utilizada.

El control comprueba la configuración de elementos del recurso AWS::EC2::NetworkAcl y determina las relaciones de la redACL.

Si la única relación es la VPC de la redACL, el control falla.

Si se enumeran otras relaciones, el control pasa.

Corrección

Para obtener instrucciones sobre cómo eliminar una red no utilizadaACL, consulta Eliminar una red ACL en la Guía del VPC usuario de Amazon. No puedes eliminar la red predeterminada ACL ni ninguna ACL que esté asociada a subredes.

[EC2.17] EC2 Las instancias de Amazon no deberían usar múltiples ENIs

Requisitos relacionados: NIST.800-53.r5 AC-4 (21)

Categoría: Proteger > Seguridad de red

Gravedad: baja

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config : ec2-instance-multiple-eni-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una EC2 instancia utiliza varias interfaces de red elásticas (ENIs) o adaptadores Elastic Fabric (EFAs). Este control se ejecuta si se utiliza un único adaptador de red. El control incluye una lista de parámetros opcional para identificar los permitidosENIs. Este control también falla si una EC2 instancia que pertenece a un EKS clúster de Amazon usa más de unoENI. Si tus EC2 instancias necesitan tener varias ENIs como parte de un EKS clúster de Amazon, puedes suprimir esas conclusiones de control.

Si tiene varias ENIs subredes, puede haber instancias de doble alojamiento, es decir, instancias con varias subredes. Esto puede añadir complejidad a la seguridad de la red e introducir rutas y accesos a la red no deseados.

Corrección

Para separar una interfaz de red de una EC2 instancia, consulta Separar una interfaz de red de una instancia en la Guía del EC2usuario de Amazon.

[EC2.18] Los grupos de seguridad solo deberían permitir el tráfico entrante sin restricciones en los puertos autorizados

Requisitos relacionados: NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Categoría: Proteger > Configuración de red segura > Configuración de grupos de seguridad

Gravedad: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config : vpc-sg-open-only-to-authorized-ports

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`authorizedTcpPorts`	Lista de TCP puertos autorizados	IntegerList (mínimo de 1 artículo y máximo de 32 artículos)	De `1` a `65535`	`[80,443]`
`authorizedUdpPorts`	Lista de UDP puertos autorizados	IntegerList (mínimo de 1 artículo y máximo de 32 artículos)	De `1` a `65535`	Sin valor predeterminado

Este control comprueba si un grupo de EC2 seguridad de Amazon permite el tráfico entrante sin restricciones desde puertos no autorizados. El estado de control se determina de la siguiente manera:

Si se utiliza el valor predeterminado para authorizedTcpPorts, se producirá un error en el control si el grupo de seguridad permite el tráfico entrante sin restricciones de cualquier puerto que no sea el 80 ni el 443.
Si proporciona valores personalizados para authorizedTcpPorts o authorizedUdpPorts, se producirá un error en el control si el grupo de seguridad permite el tráfico entrante sin restricciones de cualquier puerto que no figure en la lista.
Si no se utiliza ningún parámetro, se produce un error en el control de los grupos de seguridad que tengan una regla de tráfico entrante sin restricciones.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a AWS. Las reglas de los grupos de seguridad deben seguir el principio del acceso con menos privilegios. El acceso sin restricciones (dirección IP con el sufijo /0) aumenta la posibilidad de que se produzcan actividades maliciosas, como hackeos, denial-of-service ataques y pérdida de datos. A menos que se permita específicamente un puerto, dicho puerto debería denegar el acceso sin restricciones.

Corrección

Para modificar un grupo de seguridad, consulte Trabajar con grupos de seguridad en la Guía del VPC usuario de Amazon.

[EC2.19] Los grupos de seguridad no deberían permitir el acceso sin restricciones a los puertos de alto riesgo

Requisitos relacionados: NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Categoría: Proteger > Acceso restringido a la red

Gravedad: crítica

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regla: restricted-common-ports(la regla creada esvpc-sg-restricted-common-ports)

Tipo de programación: se desencadena por cambios y es periódico

Parámetros: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (no personalizables)

Este control comprueba si el tráfico entrante sin restricciones de un grupo de EC2 seguridad de Amazon es accesible desde los puertos especificados que se consideran de alto riesgo. Este control falla si alguna de las reglas de un grupo de seguridad permite la entrada de tráfico desde “0.0.0.0/0” o “::/0” a esos puertos.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . El acceso sin restricciones (0.0.0.0/0) aumenta las posibilidades de que se produzcan actividades maliciosas, como la piratería informática, denial-of-service los ataques y la pérdida de datos. Ningún grupo de seguridad debe permitir el acceso de entrada sin restricciones a los siguientes puertos:

20, 21 () FTP
(2SSH)
23 (Telnet)
(25SMTP)
10 (POP3)
135 (RPC)
143 (IMAP)
45 (CIFS)
143, 1434 () MSSQL
3000 (marcos de desarrollo web Go, Node.js y Ruby)
306 (mi) SQL
389 () RDP
4333 (ahsp)
5000 (marcos de desarrollo web Python)
5432 (postgresql)
500 (fcp-addr-srvr1)
5601 (OpenSearch paneles de control)
8080 (proxy)
8088 (puerto antiguo) HTTP
8888 (HTTPpuerto alternativo)
9200 o 9300 () OpenSearch

Corrección

Para eliminar reglas de un grupo de seguridad, consulta Eliminar reglas de un grupo de seguridad en la Guía del EC2 usuario de Amazon.

[EC2.20] VPN Los dos túneles para una VPN conexión de AWS sitio a sitio deben estar activos

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso:AWS::EC2::VPNConnection

Regla de AWS Config : vpc-vpn-2-tunnels-up

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Un VPN túnel es un enlace cifrado por el que los datos pueden pasar desde la red del cliente hacia o desde una conexión de sitio a sitio. AWS AWS VPN Cada VPN conexión incluye dos VPN túneles que puede utilizar simultáneamente para obtener una alta disponibilidad. Asegurarse de que ambos VPN túneles estén listos para una VPN conexión es importante para confirmar una conexión segura y de alta disponibilidad entre una AWS VPC y su red remota.

Este control comprueba que los dos VPN túneles proporcionados por AWS Site-to-Site VPN estén en estado activo. El control falla si uno o ambos túneles están en DOWN estado.

Corrección

Para modificar las opciones de VPN túnel, consulte Modificación de las opciones de VPN túnel de sitio a sitio en la Guía del usuario de AWS sitio a sitio. VPN

[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389

Requisitos relacionados: CIS AWS Foundations Benchmark v1.4.0/5.1, CIS AWS Foundations Benchmark v3.0.0/5.1, (21), (1), (21 NIST.800-53.r5 AC-4), (5) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoría: Proteger > Configuración de red segura

Gravedad: media

Tipo de recurso:AWS::EC2::NetworkAcl

Regla de AWS Config : nacl-no-unrestricted-ssh-rdp

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una lista de control de acceso a la red (redACL) permite el acceso sin restricciones a los puertos predeterminados para el tráfico de entrada o entrada. TCP SSH RDP El control falla si la entrada ACL entrante de la red permite un CIDR bloque de origen de '0.0.0.0/0' o ': :/0' para los puertos 22 o 3389. TCP El control no genera resultados para una red predeterminada. ACL

El acceso a los puertos de administración remota del servidor, como el puerto 22 (SSH) y el puerto 3389 (RDP), no debe ser de acceso público, ya que esto podría permitir el acceso no deseado a los recursos que contiene. VPC

Corrección

Para editar las reglas de ACL tráfico de la red, consulta Trabajar con la red ACLs en la Guía del VPC usuario de Amazon.

[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse

importante

RETIREDFROMSPECIFICSTANDARDS— Security Hub eliminó este control el 20 de septiembre de 2023 del estándar AWS Foundational Security Best Practices y del NIST SP 800-53 Rev. 5. Este control sigue formando parte del estándar de gestión de servicios:. AWS Control Tower Este control produce una comprobación válida si los grupos de seguridad están conectados a EC2 instancias o a una interface de red elástica. Sin embargo, en algunos casos de uso, los grupos de seguridad independientes no representan un riesgo para la seguridad. Puede usar otros EC2 controles, como EC2 .2, EC2 .13, EC2 .14, EC2 .18 y EC2 .19, para monitorear sus grupos de seguridad.

Categoría: Identificar - Inventario

Gravedad: media

Tipo de recurso:AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup

Regla de AWS Config : ec2-security-group-attached-to-eni-periodic

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los grupos de seguridad están conectados a instancias de Amazon Elastic Compute Cloud (AmazonEC2) o a una interfaz de red elástica. El control falla si el grupo de seguridad no está asociado a una EC2 instancia de Amazon o a una elastic network interface.

Corrección

Para crear, asignar y eliminar grupos de seguridad, consulta la guía del EC2 usuario de Grupos de seguridad en Amazon.

[EC2.23] Amazon EC2 Transit Gateways no debería aceptar VPC automáticamente las solicitudes de archivos adjuntos

Requisitos relacionados: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST

Categoría: Proteger - Configuración de red segura

Gravedad: alta

Tipo de recurso:AWS::EC2::TransitGateway

Regla de AWS Config : ec2-transit-gateway-auto-vpc-attach-disabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si las pasarelas de EC2 tránsito aceptan automáticamente los archivos adjuntos compartidos. VPC Este control no funciona en el caso de una pasarela de tránsito que acepta automáticamente las solicitudes de VPC archivos adjuntos compartidos.

Al activarlo, se AutoAcceptSharedAttachments configura una pasarela de transporte para que acepte automáticamente cualquier solicitud de VPC archivo adjunto entre cuentas sin verificar la solicitud ni la cuenta de la que proviene el archivo adjunto. Para seguir las mejores prácticas de autorización y autenticación, te recomendamos desactivar esta función para garantizar que solo se acepten las solicitudes de VPC archivos adjuntos autorizadas.

Corrección

Para modificar una pasarela de tránsito, consulta Modificar una pasarela de tránsito en la Guía para VPC desarrolladores de Amazon.

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

Requisitos relacionados: NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoría: Identificar > Administración de vulnerabilidades, parches y versiones

Gravedad: media

Tipo de recurso:AWS::EC2::Instance

Regla de AWS Config : ec2-paravirtual-instance-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si el tipo de virtualización de una instancia es paravirtual. EC2 El control falla si virtualizationType la EC2 instancia está configurada en. paravirtual

Las Amazon Machine Images (AMIs) de Linux utilizan uno de los dos tipos de virtualización: paravirtual (PV) o máquina virtual de hardware (HVM). Las principales diferencias entre PV y PV HVM AMIs son la forma en que arrancan y si pueden aprovechar las extensiones de hardware especiales (CPUred y almacenamiento) para obtener un mejor rendimiento.

Históricamente, los huéspedes que utilizan energía fotovoltaica tenían un mejor rendimiento que los HVM huéspedes en muchos casos, pero debido a las mejoras en la HVM virtualización y a la disponibilidad de los controladores fotovoltaicos HVMAMIs, esto ya no es cierto. Para obtener más información, consulta los tipos de AMI virtualización de Linux en la Guía del EC2 usuario de Amazon.

Corrección

Para actualizar una EC2 instancia a un nuevo tipo de instancia, consulta Cambiar el tipo de instancia en la Guía del EC2 usuario de Amazon.

[EC2.25] Las plantillas de EC2 lanzamiento de Amazon no deben asignar interfaces públicas IPs a las de red

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente

Gravedad: alta

Tipo de recurso:AWS::EC2::LaunchTemplate

Regla de AWS Config : ec2-launch-template-public-ip-disabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si las plantillas de EC2 lanzamiento de Amazon están configuradas para asignar direcciones IP públicas a las interfaces de red en el momento del lanzamiento. El control falla si una plantilla de EC2 lanzamiento está configurada para asignar una dirección IP pública a las interfaces de red o si hay al menos una interfaz de red que tiene una dirección IP pública.

Una dirección IP pública es una dirección a la que se puede tener acceso desde Internet. Si configura las interfaces de red con una dirección IP pública, es posible que se pueda acceder a los recursos asociados a esas interfaces de red desde Internet. EC2los recursos no deberían ser de acceso público, ya que esto podría permitir el acceso no deseado a las cargas de trabajo.

Corrección

Para actualizar una plantilla de EC2 lanzamiento, consulte Cambiar la configuración de la interfaz de red predeterminada en la Guía del usuario de Amazon EC2 Auto Scaling.

[EC2.28] EBS los volúmenes deben estar cubiertos por un plan de respaldo

Categoría: Recuperación > Resiliencia > Respaldos habilitados

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Gravedad: baja

Tipo de recurso: AWS::EC2::Volume

AWS Config regla: ebs-resources-protected-by-backup-plan

Tipo de programa: Periódico

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`backupVaultLockCheck`	El control produce un `PASSED` resultado si el parámetro está establecido en AWS Backup Vault Lock `true` y el recurso lo utiliza.	Booleano	`true` o `false`	Sin valor predeterminado

Este control evalúa si un EBS volumen de Amazon en el in-use estado está cubierto por un plan de respaldo. El control falla si un EBS volumen no está cubierto por un plan de respaldo. Si establece el backupVaultLockCheck parámetro en un valor igual atrue, el control solo se activará si el EBS volumen está guardado en una bóveda AWS Backup cerrada con llave.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resiliencia de sus sistemas. La inclusión de EBS los volúmenes de Amazon en un plan de copia de seguridad le ayuda a proteger sus datos de pérdidas o eliminaciones involuntarias.

Corrección

Para añadir un EBS volumen de Amazon a un plan AWS Backup de backup, consulte Asignación de recursos a un plan de backup en la Guía para AWS Backup desarrolladores.

[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::TransitGatewayAttachment

Regla de AWS Config : tagged-ec2-transitgatewayattachment (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas no relacionadas con el sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si un archivo adjunto de Amazon EC2 Transit Gateway tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el archivo adjunto de la pasarela de transporte no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si el archivo adjunto de Transit Gateway no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por élaws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

nota

No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS

Corrección

Para añadir etiquetas a un archivo adjunto de EC2 Transit Gateway, consulta Cómo etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::TransitGatewayRouteTable

Regla de AWS Config : tagged-ec2-transitgatewayroutetable (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas no disponibles que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si una tabla de rutas de Amazon EC2 Transit Gateway tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la tabla de rutas de la pasarela de tránsito no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si la tabla de rutas de la puerta de enlace de tránsito no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a una tabla de rutas de una pasarela de EC2 transporte, consulta Cómo etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

Las interfaces de EC2 red deben estar etiquetadas [EC2.35]

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::NetworkInterface

Regla de AWS Config : tagged-ec2-networkinterface (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas no relacionadas con el sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si una interfaz de EC2 red de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la interfaz de red no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si la interfaz de red no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a una interfaz de EC2 red, consulta Cómo etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

[EC2.36] Las pasarelas de EC2 clientes deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::CustomerGateway

Regla de AWS Config : tagged-ec2-customergateway (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas no disponibles que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si una pasarela de EC2 clientes de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la pasarela de clientes no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si la pasarela de clientes no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a una pasarela de EC2 clientes, consulta Cómo etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

[EC2.37] Las direcciones IP EC2 elásticas deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::EIP

Regla de AWS Config : tagged-ec2-eip (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no son del sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si una dirección IP EC2 elástica de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la dirección IP elástica no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y genera un error si la dirección IP elástica no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por élaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a una dirección IP EC2 elástica, consulta Etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

[EC2.38] EC2 las instancias deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config : tagged-ec2-instance (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas no disponibles que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si una EC2 instancia de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la instancia no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y genera un error si la instancia no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a una EC2 instancia, consulta Cómo etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

[EC2.39] Las pasarelas EC2 de Internet deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::InternetGateway

Regla de AWS Config : tagged-ec2-internetgateway (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas no relacionadas con el sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si una pasarela de EC2 Internet de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la puerta de enlace a Internet no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si la puerta de enlace a Internet no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a una pasarela de EC2 Internet, consulta Cómo etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

EC2NATLas pasarelas [EC2.40] deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::NatGateway

Regla de AWS Config : tagged-ec2-natgateway (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no son del sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si una pasarela de traducción de direcciones de EC2 red (NAT) de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la NAT puerta de enlace no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si la NAT puerta de enlace no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a una EC2 NAT pasarela, consulta Cómo etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

La EC2 red [EC2.41] ACLs debe estar etiquetada

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::NetworkAcl

Regla de AWS Config : tagged-ec2-networkacl (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas no disponibles que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si una lista de control de acceso a la red de Amazon EC2 (redACL) tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la red ACL no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si la red ACL no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a una EC2 redACL, consulta Cómo etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

[EC2.42] las tablas de EC2 rutas deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::RouteTable

Regla de AWS Config : tagged-ec2-routetable (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas no relacionadas con el sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si una tabla de EC2 rutas de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la tabla de rutas no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si la tabla de rutas no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a una tabla de EC2 rutas, consulta Cómo etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

[EC2.43] los grupos EC2 de seguridad deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config : tagged-ec2-securitygroup (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas no relacionadas con el sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si un grupo EC2 de seguridad de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el grupo de seguridad no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y genera un error si el grupo de seguridad no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a un grupo EC2 de seguridad, consulta Cómo etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

EC2Las subredes [EC2.44] deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::Subnet

Regla de AWS Config : tagged-ec2-subnet (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si una EC2 subred de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la subred no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro. requiredTagKeys Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y produce un error si la subred no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a una EC2 subred, consulta Cómo etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

[EC2.45] los EC2 volúmenes deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::Volume

Regla de AWS Config : tagged-ec2-subnet (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas no disponibles que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si un EC2 volumen de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el volumen no tiene ninguna tecla de etiqueta o si no tiene todas las teclas especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si el volumen no está etiquetado con ninguna tecla. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a un EC2 volumen, consulta Cómo etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

[EC2.46] Amazon VPCs debería estar etiquetado

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::VPC

Regla de AWS Config : tagged-ec2-vpc (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no son del sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si una Amazon Virtual Private Cloud (AmazonVPC) tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si Amazon VPC no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si Amazon VPC no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a unVPC, consulta Cómo etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

[EC2.47] Los servicios de Amazon VPC Endpoint Services deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::VPCEndpointService

Regla de AWS Config : tagged-ec2-vpcendpointservice (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no son del sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si un servicio de VPC punto final de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el servicio de punto final no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y genera un error si el servicio de punto final no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a un servicio de VPC punto final de Amazon, consulte Administrar etiquetas en la sección Configurar un servicio de punto final de la AWS PrivateLink guía.

[EC2.48] Los registros de VPC flujo de Amazon deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::FlowLog

Regla de AWS Config : tagged-ec2-flowlog (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no son del sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si un registro de VPC flujo de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el registro de flujo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y produce un error si el registro de flujo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a un registro de VPC flujo de Amazon, consulta Etiquetar un registro de flujo en la Guía del VPC usuario de Amazon.

[EC2.49] VPC Las conexiones entre pares de Amazon deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::VPCPeeringConnection

Regla de AWS Config : tagged-ec2-vpcpeeringconnection (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas no disponibles que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si una conexión de VPC peering de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la conexión de emparejamiento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro. requiredTagKeys Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y produce un error si la conexión de emparejamiento no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a una conexión entre VPC pares de Amazon, consulta Cómo etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

EC2VPNLas pasarelas de enlace [EC2.50] deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::VPNGateway

Regla de AWS Config : tagged-ec2-vpngateway (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas no disponibles que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	Sin valor predeterminado

Este control comprueba si una EC2 VPN pasarela de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la VPN puerta de enlace no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si la VPN puerta de enlace no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a una EC2 VPN pasarela, consulta Cómo etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

[EC2.51] Los VPN puntos finales de los EC2 clientes deben tener habilitado el registro de las conexiones de los clientes

Requisitos relacionados: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, .800-53.r5 SI-4, .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST NIST

Categoría: Identificar - Registro

Gravedad: baja

Tipo de recurso: AWS::EC2::ClientVpnEndpoint

AWS Config regla: ec2-client-vpn-connection-log-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un AWS Client VPN punto final tiene habilitado el registro de conexiones de clientes. Se produce un error en el control si el punto de conexión no tiene habilitado el registro de conexiones de clientes.

VPNLos puntos finales de los clientes permiten a los clientes remotos conectarse de forma segura a los recursos de una nube privada virtual (VPC) en AWS. Los registros de conexión permiten realizar un seguimiento de la actividad de los usuarios en el VPN punto final y proporcionan visibilidad. Cuando habilita el registro de conexión, puede especificar el nombre de una secuencia de registros en el grupo de registros. Si no especifica un flujo de registro, el VPN servicio de cliente crea uno para usted.

Corrección

Para habilitar el registro de conexiones, consulte Habilitar el registro de conexiones para un VPN terminal cliente existente en la Guía AWS Client VPN del administrador.

[EC2.52] Las pasarelas de EC2 tránsito deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EC2::TransitGateway

Regla de AWS Config : tagged-ec2-transitgateway (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no son del sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	`No default value`

Este control comprueba si una pasarela de EC2 tránsito de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la pasarela de tránsito no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si la pasarela de tránsito no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a una pasarela de EC2 transporte, consulta Cómo etiquetar tus EC2 recursos de Amazon en la Guía del EC2 usuario de Amazon.

[EC2.53] los grupos de EC2 seguridad no deberían permitir la entrada desde el 0.0.0.0/0 a los puertos de administración remota del servidor

Requisitos relacionados: Foundations Benchmark v3.0.0/5.2 CIS AWS

Categoría: Proteger > Configuración de red segura > Configuración de grupos de seguridad

Gravedad: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config : vpc-sg-port-restriction-check

Tipo de programa: Periódico

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`ipType`	La versión IP	Cadena	No personalizable	`IPv4`
`restrictPorts`	Lista de puertos que deben rechazar el tráfico de entrada	IntegerList	No personalizable	`22,3389`

Este control comprueba si un grupo de EC2 seguridad de Amazon permite la entrada desde 0.0.0.0/0 a los puertos de administración remota del servidor (puertos 22 y 3389). El control falla si el grupo de seguridad permite la entrada desde el 0.0.0.0/0 al puerto 22 o 3389.

Los grupos de seguridad proporcionan un filtrado continuo del tráfico de red de entrada y salida hacia los recursos. AWS Se recomienda que ningún grupo de seguridad permita el acceso sin restricciones a los puertos de administración remota del servidor, como SSH el puerto 22 y RDP el puerto 3389, mediante los protocolos TDP (6), (17) o UDP (-1). ALL Permitir el acceso público a estos puertos aumenta la superficie de ataque de los recursos y el riesgo de comprometer los recursos.

Corrección

Para actualizar una regla EC2 de grupo de seguridad para prohibir el tráfico de entrada a los puertos especificados, consulta Actualizar reglas de grupos de seguridad en la Guía del EC2 usuario de Amazon. Tras seleccionar un grupo de seguridad en la EC2 consola de Amazon, selecciona Acciones y edita reglas de entrada. Elimine la regla que permite el acceso al puerto 22 o al puerto 3389.

[EC2.54] los grupos EC2 de seguridad no deberían permitir la entrada desde: :/0 a los puertos de administración remota del servidor

Requisitos relacionados: Foundations Benchmark v3.0.0/5.3 CIS AWS

Categoría: Proteger > Configuración de red segura > Configuración de grupos de seguridad

Gravedad: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config : vpc-sg-port-restriction-check

Tipo de programa: Periódico

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`ipType`	La versión IP	Cadena	No personalizable	`IPv6`
`restrictPorts`	Lista de puertos que deben rechazar el tráfico de entrada	IntegerList	No personalizable	`22,3389`

Este control comprueba si un grupo de EC2 seguridad de Amazon permite la entrada desde: :/0 a los puertos de administración remota del servidor (puertos 22 y 3389). El control falla si el grupo de seguridad permite la entrada desde: :/0 al puerto 22 o 3389.

Los grupos de seguridad proporcionan un filtrado continuo del tráfico de red de entrada y salida a los recursos. AWS Se recomienda que ningún grupo de seguridad permita el acceso sin restricciones a los puertos de administración remota del servidor, como SSH el puerto 22 y RDP el puerto 3389, mediante los protocolos TDP (6), (17) o UDP (-1). ALL Permitir el acceso público a estos puertos aumenta la superficie de ataque de los recursos y el riesgo de comprometer los recursos.

Corrección

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Controles de Amazon DynamoDB

Controles EC2 de Amazon Auto Scaling