Controles de Security Hub para EventBridge - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Security Hub para EventBridge

Estos AWS Security Hub los controles evalúan el EventBridge servicio y los recursos de Amazon.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.

[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::Events::EventBus

AWS Config regla: tagged-events-eventbus (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList Lista de etiquetas que cumplen AWS requisitos Sin valor predeterminado

Este control comprueba si un bus de EventBridge eventos de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el bus de eventos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si el bus de eventos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

nota

No añada información de identificación personal (PII) ni otra información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluyendo AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar su AWS recursos en el Referencia general de AWS.

Corrección

Para añadir etiquetas a un autobús de EventBridge eventos, consulta las EventBridge etiquetas de Amazon en la Guía del EventBridge usuario de Amazon.

[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos

Requisitos relacionados: NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

Categoría: Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

Gravedad: baja

Tipo de recurso: AWS::Events::EventBus

AWS Config regla: custom-eventbus-policy-attached

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un bus de eventos EventBridge personalizado de Amazon tiene adjunta una política basada en recursos. Este control falla si el bus de eventos personalizado no tiene una política basada en recursos.

De forma predeterminada, un bus de eventos EventBridge personalizado no incluye una política basada en recursos. Esto permite a los directores de la cuenta acceder al bus de eventos. Al adjuntar una política basada en recursos al bus de eventos, puede limitar el acceso al bus de eventos a cuentas específicas, así como conceder acceso intencionadamente a entidades de otra cuenta.

Corrección

Para adjuntar una política basada en recursos a un bus de eventos EventBridge personalizado, consulta Uso de políticas basadas en recursos para Amazon en EventBridge la Guía del usuario de Amazon. EventBridge

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::Events::Endpoint

AWS Config regla: global-endpoint-event-replication-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si la replicación de eventos está habilitada para un punto final EventBridge global de Amazon. El control falla si la replicación de eventos no está habilitada para un punto de conexión global.

Los puntos finales globales ayudan a que su aplicación sea tolerante a los errores Regionales. Para empezar, debe asignar una comprobación de estado de Amazon Route 53 al punto de conexión. Cuando se inicia la conmutación por error, la comprobación de estado indica un estado “en mal estado”. A los pocos minutos del inicio de la conmutación por error, todos los eventos personalizados se enrutan a un bus de eventos en la región secundaria y son procesados por ese bus de eventos. Al utilizar puntos finales globales, puede habilitar la replicación de eventos. La replicación de eventos envía todos los eventos personalizados a los buses de eventos de las regiones principal y secundaria mediante reglas administradas. Recomendamos habilitar la replicación de eventos al configurar los puntos finales globales. La replicación de eventos le ayuda a comprobar que los puntos finales globales están configurados correctamente. La replicación de eventos es necesaria para recuperarse automáticamente de un evento de conmutación por error. Si no tiene habilitada la replicación de eventos, tendrá que restablecer manualmente la comprobación de estado de Route 53 a “en buen estado” antes de que los eventos se redirijan a la región principal.

nota

Si utilizas autobuses de eventos personalizados, necesitarás un autobús de eventos personalizado en cada región con el mismo nombre y en la misma cuenta para que la conmutación por error funcione correctamente. Habilitación de la replicación de eventos puede aumentar su costo mensual. Para obtener información sobre los precios, consulta los EventBridge precios de Amazon.

Corrección

Para habilitar la replicación de eventos para puntos de enlace EventBridge globales, consulte Crear un punto de enlace global en la Guía del EventBridge usuario de Amazon. Para la Replicación de eventos, seleccione Replicación de eventos habilitada.