Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles del equilibrador de carga elástico
Estos controles están relacionados con los recursos de Equilibrador de carga elástico.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS
Requisitos relacionados: PCI DSS v3.2.1/2.3,PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)
Gravedad: media
Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer
Regla de AWS Config : alb-http-to-https-redirection-check
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si el redireccionamiento de HTTP a HTTPS está configurado en todos los oyentes HTTP de los equilibradores de carga de aplicación. El control falla si alguno de los detectores HTTP de los equilibradores de carga de aplicaciones no tiene configurada la redirección de HTTP a HTTPS.
Antes de comenzar a utilizar el equilibrador de carga de aplicación, debe agregar al menos uno o más oyentes. Un agente de escucha es un proceso que utiliza el protocolo y el puerto configurados para comprobar las solicitudes de conexión. Los oyentes admiten los protocolos HTTP y HTTPS. Puede utilizar un oyente HTTPS para descargar el trabajo de cifrado y descifrado a su equilibrador de carga. Para forzar el cifrado en tránsito, debe usar acciones de redireccionamiento con los equilibradores de carga de aplicación para redirigir las solicitudes HTTP del cliente hacia una solicitud HTTPS en el puerto 443.
Para obtener más información, consulte Creación de un agente de escucha para el Equilibrador de carga de aplicación en la Guía del usuario de Equilibrador de carga de aplicacións.
Corrección
Para redirigir las solicitudes HTTP a HTTPS, debe agregar una regla de escucha de Equilibrador de carga de aplicación o editar una regla existente.
Para obtener instrucciones sobre cómo agregar una nueva regla, consulte Agregar una regla en la Guía del usuario de los equilibradores de carga de aplicaciones. En Protocolo : Puerto, elija HTTP y luego ingrese 80. En Añadir acción, Redirigir a, elija HTTPS y, a continuación, introduzca 443.
Para obtener instrucciones sobre cómo editar una regla existente, consulte Editar una regla en la Guía del usuario de los equilibradores de carga de aplicaciones. En Protocolo : Puerto, elija HTTP y luego ingrese 80. En Añadir acción, Redirigir a, elija HTTPS y, a continuación, introduzca 443.
[ELB.2] Los balanceadores de carga clásicos con receptores SSL/HTTPS deben usar un certificado proporcionado por AWS Certificate Manager
Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(5), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)
Categoría: Proteger > Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer
Regla de AWS Config : elb-acm-certificate-required
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Comprueba si los Equilibrador de carga clásicos utilizan los certificados SSL proporcionados por AWS Certificate Manager . El control falla si el Equilibrador de carga clásico configurado con el agente de escucha HTTPS/SSL no utiliza un certificado proporcionado por ACM.
Para crear un certificado, puede utilizar ACM o una herramienta que admita los protocolos SSL y TLS, como OpenSSL. Security Hub recomienda que utilice ACM para crear o importar certificados para su equilibrador de carga.
ACM se integra con Equilibrador de carga clásico, lo que le permite implementar el certificado en el equilibrador de carga. También debe renovar estos certificados automáticamente.
Corrección
Para obtener información sobre cómo asociar un certificado SSL/TLS de ACM a un Equilibrador de carga clásico, consulte el artículo del AWS Knowledge Center ¿Cómo puedo asociar un certificado SSL/TLS de ACM a un Classic, Application o Equilibrador de carga de red?
[ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS
Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)
Categoría: Proteger - Protección de datos - Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer
Regla de AWS Config : elb-tls-https-listeners-only
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si los agentes de escucha de Equilibrador de carga clásico están configurados con el protocolo HTTPS o TLS para las conexiones frontend (entre el cliente y el equilibrador de carga). El control se aplica si un Equilibrador de carga clásico tiene oyentes. Si su Equilibrador de carga clásico no tiene un listener configurado, el control no informa de ningún resultado.
El control pasa si los oyentes de Equilibrador de carga clásico están configurados con TLS o HTTPS para las conexiones front-end.
El control falla si el listener no está configurado con TLS o HTTPS para las conexiones front-end.
Antes de comenzar a utilizar un equilibrador de carga, debe agregar uno o más oyentes. Un agente de escucha es un proceso que utiliza el protocolo y el puerto configurados para comprobar las solicitudes de conexión. Los oyentes pueden admitir los protocolos HTTP y HTTPS/TLS. Siempre debes usar un agente de escucha HTTPS o TLS para que el equilibrador de cargas se encargue de cifrar y desencriptar en tránsito.
Corrección
Para solucionar este problema, actualiza tus oyentes para que usen el protocolo TLS o HTTPS.
Cómo cambiar todos los oyentes no compatibles por oyentes TLS/HTTPS
Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/
. -
En el panel de navegación, en Equilibración de carga, elija equilibradores de carga.
Etiquetado del equilibrador de carga clásico
-
En la pestaña Listeners (Agentes de escucha), seleccione Edit (Editar).
-
Para todos los oyentes en los que el Protocolo Equilibrador de carga no esté configurado en HTTPS o SSL, cambie la configuración a HTTPS o SSL.
-
Para todos los oyentes modificados, en la pestaña Certificados, seleccione Cambiar el valor predeterminado.
-
Para los certificados ACM e IAM, seleccione un certificado.
-
Seleccione Guardar como predeterminado.
-
Tras actualizar todos los oyentes, selecciona Guardar.
[ELB.4] Equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http
Requisitos relacionados: NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8(2)
Categoría: Proteger > Seguridad de redes
Gravedad: media
Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer
Regla de AWS Config : alb-http-drop-invalid-header-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control evalúa los balanceadores de carga de AWS aplicaciones para garantizar que estén configurados para eliminar los encabezados HTTP no válidos. El control falla si el valor routing.http.drop_invalid_header_fields.enabled se establece como false.
De forma predeterminada, los equilibradores de carga de aplicaciones no están configurados para eliminar valores de encabezado HTTP no válidos. La eliminación de estos valores de encabezado evita los ataques de desincronización de HTTP.
Tenga en cuenta que puede deshabilitar este control si ELB.12 está habilitado.
Corrección
Para solucionar este problema, configura tu equilibrador de cargas para eliminar los campos de encabezado no válidos.
Cómo configurar el equilibrador de carga para eliminar campos de encabezado no válidos
Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/
. -
En el panel de navegación, elija Load balancers (Balanceadores de carga).
-
Eliminación de un Equilibrador de carga de aplicación
-
Para Acciones, elija Editar atributos.
-
En Eliminar campos de encabezado no válidos, selecciona Activar.
-
Seleccione Guardar.
[ELB.5] El registro de las aplicaciones y de los equilibradores de carga clásicos debe estar habilitado
Requisitos relacionados: NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-7(8)
Categoría: Registro
Gravedad: media
Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer, AWS::ElasticLoadBalancingV2::LoadBalancer
Regla de AWS Config : elb-logging-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el Equilibrador de carga de aplicación y el Equilibrador de carga clásico tienen el registro activado. El control tiene errores si access_logs.s3.enabled es false.
Elastic Load Balancing proporciona registros de acceso que capturan información detallada sobre las solicitudes enviadas al equilibrador de carga. Cada registro contiene distintos datos, como el momento en que se recibió la solicitud, la dirección IP del cliente, las latencias, las rutas de solicitud y las respuestas del servidor. Puede utilizar estos registros de acceso para analizar los patrones de tráfico y solucionar problemas.
Para obtener más información, consulte Etiquetado del Equilibrador de carga clásico en la Guía del usuario de Equilibrador de carga clásicos.
Corrección
Para habilitar los registros de acceso, consulte el Paso 3: Configurar los registros de acceso en la Guía del usuario de los equilibradores de carga de aplicaciones.
[ELB.6] La protección contra la eliminación de Equilibrador de carga de aplicación debe estar habilitada
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer
Regla de AWS Config : elb-deletion-protection-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el Equilibrador de carga de aplicación tiene habilitada la protección contra eliminación. El control falla si la protección contra la eliminación no está configurada.
Habilita la protección contra eliminación para evitar que el Equilibrador de carga de aplicación se elimine.
Corrección
Para evitar que el equilibrador de carga se elimine por error, puede habilitar la protección contra eliminación. De forma predeterminada, la protección contra eliminación del equilibrador de carga está deshabilitada.
Si habilita la protección contra eliminación del equilibrador de carga, deberá deshabilitarla para poder eliminarlo.
Para habilitar la protección contra la eliminación, consulte la sección Protección contra la eliminación en la Guía del usuario de los equilibradores de carga de aplicaciones.
[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
Categoría: Recuperación > Resiliencia
Gravedad: media
Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer
Regla de AWS Config: elb-connection-draining-enabled (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si los equilibradores de carga clásicos tienen habilitado el drenaje de conexión.
Al habilitar el drenaje de conexiones en los Equilibradores de carga clásicos se garantiza que el equilibrador de carga deje de enviar solicitudes a instancias que están en proceso de anulación del registro o se encuentran en mal estado. Mantiene abiertas las conexiones existentes. Esto es particularmente útil para instancias en grupos de escalado automático, para garantizar que las conexiones no se interrumpan abruptamente.
Corrección
Para habilitar el drenaje de conexión en Equilibrador de carga clásico, consulte Configuración del drenaje de conexión para el Equilibrador de carga clásico en la Guía del usuario de Equilibrador de carga clásico.
[ELB.8] Los balanceadores de carga clásicos con agentes de escucha SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config
Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)
Categoría: Proteger > Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer
Regla de AWS Config : elb-predefined-security-policy-ssl-check
Tipo de horario: provocado por un cambio
Parámetros:
-
predefinedPolicyName:ELBSecurityPolicy-TLS-1-2-2017-01(no personalizable)
Este control comprueba si los oyentes HTTPS/SSL de Equilibrador de carga clásico utilizan la política predefinida de ELBSecurityPolicy-TLS-1-2-2017-01. El control falla si los oyentes HTTPS/SSL de Equilibrador de carga clásico no utilizan ELBSecurityPolicy-TLS-1-2-2017-01.
Una política de seguridad es una combinación de protocolos SSL, cifrados y la opción de preferencia del orden del servidor. Las políticas predefinidas controlan los cifrados, los protocolos y los órdenes de preferencia que se deben admitir durante las negociaciones SSL entre un cliente y un equilibrador de carga.
Usar ELBSecurityPolicy-TLS-1-2-2017-01 puede ayudarlo a cumplir con los estándares de cumplimiento y seguridad que requieren que deshabilite versiones específicas de SSL y TLS. Para obtener más información, consulte Agentes de escucha para el Equilibrador de carga clásico en la Guía del usuario de Equilibrador de carga clásicos.
Corrección
Para obtener información sobre cómo utilizar la política de seguridad predefinida de ELBSecurityPolicy-TLS-1-2-2017-01 con un Equilibrador de carga clásico, consulte Configurar los ajustes de seguridad en la Guía del usuario de Equilibrador de carga clásicos.
[ELB.9] Los equilibradores de carga clásicos deberían tener habilitado el equilibrio de carga entre zonas
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer
Regla de AWS Config : elb-cross-zone-load-balancing-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el equilibrio de carga entre zonas está habilitado para los equilibradores de carga clásicos (CLB). El control falla si el equilibrio de carga entre zonas no está habilitado para un CLB.
Cada nodo del equilibrador de carga distribuye el tráfico entre los destinos registrados en su zona de disponibilidad solamente. Cuando el equilibrio de carga entre zonas está deshabilitado, cada nodo del equilibrador de carga distribuye el tráfico únicamente entre los destinos registrados de su zona de disponibilidad. Si el número de destinos registrados no es el mismo en todas las zonas de disponibilidad, el tráfico no se distribuirá de manera uniforme y las instancias de una zona podrían terminar sobreutilizadas en comparación con las instancias de otra zona. Con cross-zone load balancing, cada nodo del equilibrador de carga de su equilibrador de carga clásico distribuye las solicitudes equitativamente entre todas las instancias registradas en todas las zonas de disponibilidad habilitadas. Para obtener más información, consulte Equilibrio de carga entre zonas en la Guía del usuario de Elastic Load Balancing.
Corrección
Para habilitar el balanceo de cargas entre zonas en un Equilibrador de carga clásico, consulta Habilitar el balanceo de cargas entre zonas en la Guía del usuario de Equilibrador de carga clásicos.
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer
Regla de AWS Config : clb-multiple-az
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Cantidad mínima de zonas de disponibilidad |
Enum |
|
|
Este control comprueba si se configuró un Equilibrador de carga clásico para abarcar al menos la cantidad especificada de zonas de disponibilidad (AZ). Se produce un error en el control si el equilibrador de carga clásico no abarca al menos la cantidad especificada de AZ. A menos que se proporcione un valor personalizado de parámetro para la cantidad mínima de AZ, Security Hub utiliza un valor predeterminado de dos AZ.
Puede configurar el equilibrador de carga clásico en EC2-Classic para que las solicitudes de entrada se distribuyan entre las instancias EC2 de una única zona de disponibilidad o de varias. Un Equilibrador de carga clásico que no abarque varias zonas de disponibilidad no puede redirigir el tráfico a destinos de otra zona de disponibilidad si la única zona de disponibilidad configurada deja de estar disponible.
Corrección
Para agregar zonas de disponibilidad a un equilibrador de carga clásico, consulte Add or remove subnets for your Classic Load Balancer en la Guía del usuario para los Equilibradores de carga clásicos.
[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto
Requisitos relacionados: NIST.800-53.r5 AC-4(21), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
Categoría: Protección de datos > Integridad de los datos
Gravedad: media
Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer
Regla de AWS Config : alb-desync-mode-check
Tipo de horario: provocado por un cambio
Parámetros:
desyncMode:defensive, strictest(no personalizable)
Este control comprueba si un Equilibrador de carga de aplicación está configurado con el modo defensivo o con el modo de mitigación de desincronización más estricto. El control falla si un Equilibrador de carga de aplicación no está configurado con el modo defensivo o de mitigación de desincronización más estricto.
Los problemas de desincronización de HTTP pueden provocar el contrabando de solicitudes y hacer que las aplicaciones sean vulnerables al envenenamiento de las colas de solicitudes o de la caché. A su vez, estas vulnerabilidades pueden provocar el uso indebido de credenciales o la ejecución de comandos no autorizados. Los equilibradores de carga de aplicaciones configurados con el modo defensivo o el modo de mitigación de desincronización más estricto protegen tu aplicación de los problemas de seguridad que pueda provocar la desincronización de HTTP.
Corrección
Para actualizar el modo de mitigación de desincronización de un Equilibrador de carga de aplicación, consulte el modo de mitigación de desincronización en la Guía del usuario de Equilibrador de carga de aplicaciones.
[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer
Regla de AWS Config : elbv2-multiple-az
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Cantidad mínima de zonas de disponibilidad |
Enum |
|
|
Este control comprueba si un Elastic Load Balancer V2 (equilibrador de carga de aplicaciones, redes o puertas de enlace) registró instancias de al menos la cantidad especificada de zonas de disponibilidad (AZ). Se produce un error en el control si un Elastic Load Balancer V2 no tiene instancias registradas en al menos la cantidad especificada de AZ. A menos que se proporcione un valor personalizado de parámetro para la cantidad mínima de AZ, Security Hub utiliza un valor predeterminado de dos AZ.
Elastic Load Balancing distribuye automáticamente el tráfico entrante entre varios destinos, por ejemplo, instancias EC2, contenedores y direcciones IP en una o varias zonas de disponibilidad. Elastic Load Balancing escala el equilibrador de carga a medida que el tráfico entrante va cambiando con el tiempo. Se recomienda configurar al menos dos zonas de disponibilidad para garantizar la disponibilidad de los servicios, ya que el Elastic Load Balancer podrá dirigir el tráfico a otra zona de disponibilidad si alguna deja de estar disponible. Tener configuradas varias zonas de disponibilidad ayudará a evitar que la aplicación tenga un único punto de error.
Corrección
Para agregar una zona de disponibilidad a un Equilibrador de carga de aplicación, consulte Zonas de disponibilidad para el equilibrador de carga de aplicaciones en la Guía del usuario para equilibradores de carga de aplicaciones. Para crear un equilibrador de carga de red, consulte Introducción a los equilibradores de carga de red en la Guía del usuario de los equilibradores de carga de red. Para añadir una zona de disponibilidad a un equilibrador de carga de puerta de enlace, consulte Crear un equilibrador de carga de puerta de enlace en la Guía del usuario de equilibradores de carga de puerta de enlace.
[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto
Requisitos relacionados: NIST.800-53.r5 AC-4(21), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
Categoría: Protección de datos > Integridad de los datos
Gravedad: media
Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer
Regla de AWS Config : clb-desync-mode-check
Tipo de horario: provocado por un cambio
Parámetros:
desyncMode:defensive, strictest(no personalizable)
Este control comprueba si un Equilibrador de carga clásico está configurado con el modo defensivo o con el modo de mitigación de desincronización más estricto. El control falla si el Equilibrador de carga clásico no está configurado con el modo defensivo o de mitigación de desincronización más estricto.
Los problemas de desincronización de HTTP pueden provocar el contrabando de solicitudes y hacer que las aplicaciones sean vulnerables al envenenamiento de las colas de solicitudes o de la caché. A su vez, estas vulnerabilidades pueden provocar el secuestro de credenciales o la ejecución de comandos no autorizados. Los equilibradores de carga clásicos configurados con el modo defensivo o el modo de mitigación de desincronización más estricto protegen tu aplicación de los problemas de seguridad que pueda provocar la desincronización de HTTP.
Corrección
Para actualizar el modo de mitigación de desincronización en un Equilibrador de carga clásico, consulte Modificar el modo de mitigación de desincronización en la Guía del usuario de Equilibrador de carga clásico.
[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una ACL web AWS WAF
Requisitos relacionados: NIST.800-53.r5 AC-4(21)
Categoría: Proteger > Servicios de protección
Gravedad: media
Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer
Regla de AWS Config : alb-waf-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un Application Load Balancer está asociado a una lista de control de acceso AWS WAF web (ACL web) AWS WAF clásica o web. El control falla si el campo Enabled de la configuración AWS WAF se ha establecido como false.
AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y las API de los ataques. Con AWS WAFél, puede configurar una ACL web, que es un conjunto de reglas que permiten, bloquean o cuentan las solicitudes web en función de las reglas y condiciones de seguridad web personalizables que usted defina. Recomendamos asociar el Equilibrador de carga de aplicación a una ACL web de AWS WAF para protegerlo de ataques malintencionados.
Corrección
Para asociar un Application Load Balancer a una ACL web, consulte Asociar o desasociar una ACL web a un AWS recurso en la Guía para desarrolladores.AWS WAF
