Corregir las exposiciones por ejemplo EC2

AWSSecurity Hub puede generar resultados de exposición para las instancias de Amazon Elastic Compute Cloud (EC2).

En la consola de Security Hub, la EC2 instancia implicada en un hallazgo de exposición y su información de identificación aparecen en la sección Recursos de los detalles del hallazgo. De forma programática, puede recuperar los detalles de los recursos con el GetFindingsV2funcionamiento de la API CSPM de Security Hub.

Después de identificar el recurso involucrado en un resultado de exposición, puede eliminar el recurso si no lo necesita. Eliminar un recurso no esencial puede reducir su perfil de exposición y sus costes. AWS Si el recurso es esencial, siga estos pasos de remediación recomendados para ayudar a mitigar el riesgo. Los temas de remediación se dividen según el tipo de condición.

Un único resultado de exposición puede incluir problemas identificados en varios temas de remediación. También es posible abordar un resultado de exposición y disminuir su nivel de gravedad con solo tratar uno de los temas de remediación. El enfoque de remediación adecuado depende de los requisitos y cargas de trabajo de la organización.

nota

La guía de remediación que se proporciona en este tema puede requerir consultas adicionales en otros AWS recursos.

Contenido

• Características de mala configuración de las instancias EC2

  • La EC2 instancia permite el acceso al IMDS mediante la versión 1

  • El rol de IAM asociado a la EC2 instancia de Amazon tiene una política de acceso administrativo

  • El rol de IAM asociado a la EC2 instancia de Amazon tiene una política de administración de servicios

  • La EC2 instancia de Amazon tiene un grupo de seguridad o ACL de red que permite el acceso SSH o RDP.

  • La EC2 instancia de Amazon tiene un grupo de seguridad abierto

• Características de accesibilidad de las instancias EC2

  • Se puede acceder a la EC2 instancia a través de Internet

  • Se puede acceder a la EC2 instancia de Amazon desde la VPC de Amazon

• Características de vulnerabilidad de EC2 las instancias

  • EC2 La instancia tiene vulnerabilidades de software que pueden explotarse en la red con una alta probabilidad de explotación

  • La EC2 instancia de Amazon tiene vulnerabilidades de software

  • La EC2 instancia tiene un sistema End-Of-Life operativo

• La EC2 instancia tiene paquetes de software malintencionados

• La EC2 instancia tiene archivos maliciosos

Características de mala configuración de las instancias EC2

Estas son las características de los errores de configuración de las EC2 instancias y las medidas de corrección sugeridas.

La EC2 instancia permite el acceso al IMDS mediante la versión 1

Los metadatos de la instancia son datos sobre tu EC2 instancia de Amazon que las aplicaciones pueden usar para configurar o administrar la instancia en ejecución. El servicio de metadatos de instancia (IMDS) es un componente de la instancia que utiliza el código de instancia para acceder de forma segura a los metadatos de la instancia. Si el IMDS no está protegido adecuadamente, puede convertirse en un posible vector de ataque, ya que proporciona acceso a credenciales temporales y otros datos de configuración confidenciales. IMDSv2 proporciona una mayor protección contra la explotación mediante la autenticación orientada a la sesión, que requiere un token de sesión para las solicitudes de metadatos y limita la duración de la sesión. Siguiendo los principios de seguridad estándar, se AWS recomienda configurar las EC2 instancias de Amazon para usarlas IMDSv2 y deshabilitarlas IMDSv1.

Prueba de la compatibilidad de aplicaciones

Antes de IMDSv2 implementarla, prueba la instancia para asegurarte de su compatibilidad con IMDSv2. Es posible que algunas aplicaciones o scripts requieran una IMDSv1 funcionalidad básica y una configuración adicional. Para obtener más información sobre herramientas y rutas recomendadas para probar la compatibilidad de aplicaciones, consulte Transición al uso de la versión 2 del servicio de metadatos de instancias (IMDS) en la Guía del usuario de Amazon Elastic Compute Cloud.

Actualice la instancia que desee utilizar IMDSv2

Modifique las instancias existentes para usarlas IMDSv2. Para obtener más información, consulte Modificación de las opciones de metadatos de instancia para instancias existentes en la Guía del usuario de Amazon Elastic Compute Cloud.

Aplicación de actualizaciones a instancias en un grupo de escalado automático

Si la instancia forma parte de un grupo de escalado automático, actualice la plantilla de lanzamiento o configuración de lanzamiento con una nueva configuración y vuelva a cargar la instancia.

El rol de IAM asociado a la EC2 instancia de Amazon tiene una política de acceso administrativo

Las políticas de acceso administrativo proporcionan a EC2 las instancias de Amazon amplios permisos Servicios de AWS y recursos. Estas políticas suelen incluir permisos que no son necesarios para la funcionalidad de la instancia. Proporcionar una identidad de IAM con una política de acceso administrativo en una EC2 instancia de Amazon (en lugar del conjunto mínimo de permisos que necesita la función asociada al perfil de la instancia) puede aumentar el alcance de un ataque si la EC2 instancia de Amazon se ve comprometida. Si una instancia se ve comprometida, los atacantes podrían aprovechar estos permisos excesivos para desplazarse lateralmente por el entorno, acceder a datos o manipular recursos. Según los principios estándar de seguridad, recomendamos otorgar privilegios mínimos, lo que significa conceder únicamente los permisos necesarios para realizar una tarea.

Revisión e identificación de políticas administrativas

En el panel de IAM, busque el rol por su nombre. Revise la política de permisos asociada al rol de IAM. Si la política es una política AWS gestionada, busque AdministratorAccess oIAMFullAccess. De lo contrario, en el documento de la política, busque declaraciones con "Effect": "Allow", "Action": "*" y "Resource": "*".

Implementación del acceso a los privilegios mínimos

Reemplace las políticas administrativas por políticas que otorguen únicamente los permisos específicos requeridos para que la instancia funcione. Para obtener más información sobre las prácticas recomendadas de seguridad para roles de IAM, consulte Aplicación de permisos de privilegios mínimos en Prácticas recomendadas de seguridad en la Guía del usuario de AWS Identity and Access Management. Para identificar permisos innecesarios, puede usar el Analizador de acceso de IAM y así entender cómo modificar la política en función del historial de acceso. Para obtener más información, consulte Resultados de acceso externo y no utilizado en la Guía del usuario de AWS Identity and Access Management. Como alternativa, puede crear un nuevo rol de IAM para evitar afectar a otras aplicaciones que usan el rol existente. En este caso, cree un nuevo rol de IAM y luego asócielo a la instancia. Para obtener instrucciones sobre cómo reemplazar un rol de IAM de una instancia, consulte Cómo asociar un rol de IAM a una instancia en la Guía del usuario de Amazon Elastic Compute Cloud.

Consideraciones para configuraciones seguras

Si la instancia requiere permisos administrativos a nivel de servicio, considere implementar estos controles de seguridad adicionales para mitigar el riesgo:.

• Consideraciones para configuraciones seguras

  • Autenticación multifactor (MFA): MFA agrega una capa adicional de seguridad al requerir una forma adicional de autenticación. Esto ayuda a evitar accesos no autorizados incluso si las credenciales se ven comprometidas. Para obtener más información, consulte Requisito de autenticación multifactor (MFA) en la Guía del usuario de AWS Identity and Access Management.

  • Condiciones de IAM: la configuración de elementos de condición permite restringir cuándo y cómo se pueden usar permisos administrativos en función de factores como la dirección IP de origen o la antigüedad del MFA. Para obtener más información, consulte Uso de condiciones en políticas de IAM para restringir el acceso en la Guía del usuario de AWS Identity and Access Management.

  • Límites de permisos: los límites de permisos establecen el máximo de permisos que un rol puede tener, con lo que se establece una barrera de protección para roles con acceso administrativo. Para obtener más información, consulte Uso de límites de permisos para delegar la administración de permisos dentro de una cuenta en la Guía del usuario de AWS Identity and Access Management.

Aplicación de actualizaciones a instancias en un grupo de escalado automático

Para EC2 las instancias de Amazon de un grupo de AWS autoescalado, actualiza la plantilla de lanzamiento o la configuración de lanzamiento con el nuevo perfil de instancia y realiza una actualización de la instancia. Para obtener información sobre cómo actualizar una plantilla de lanzamiento, consulte Modificación de una plantilla de lanzamiento (administrar versiones de plantillas de lanzamiento) en la Guía del usuario de Amazon Elastic Compute Cloud. Para obtener más información, consulte Cómo volver a cargar una instancia para actualizar instancias en un grupo de escalado automático. Para obtener más información sobre el uso de funciones de IAM con grupos de Auto Scaling, consulte Función de IAM para aplicaciones que se ejecutan en EC2 instancias de Amazon en la Guía del usuario de Amazon EC2 Auto Scaling.

El rol de IAM asociado a la EC2 instancia de Amazon tiene una política de administración de servicios

Las políticas de acceso a los servicios proporcionan a las EC2 instancias de Amazon amplios permisos para acceder a los AWS servicios y recursos. Estas políticas suelen incluir permisos que no son necesarios para la funcionalidad de la instancia. Proporcionar una identidad de IAM con una política de acceso administrativo en una EC2 instancia de Amazon en lugar del conjunto mínimo de permisos que necesita la función asociada al perfil de la instancia puede aumentar el alcance de un ataque si una instancia se ve comprometida. Según principios estándar de seguridad, recomendamos conceder el menor privilegio, lo que significa otorgar únicamente los permisos necesarios para realizar una tarea.

Revisión e identificación de políticas administrativas

En el panel de IAM, busque el rol por su nombre. Revise la política de permisos asociada al rol de IAM. Si la política es una política AWS gestionada, busque AdministratorAccess oIAMFullAccess. De lo contrario, en el documento de la política, busque declaraciones con "Effect": "Allow", "Action": "*" y "Resource": "*".

Implementación del acceso a los privilegios mínimos

Reemplace las políticas de administración del servicio con aquellas que otorguen únicamente los permisos específicos necesarios para que la instancia funcione. Para obtener más información sobre las prácticas recomendadas de seguridad para roles de IAM, consulte Aplicación de permisos de privilegio mínimo en Prácticas recomendadas de seguridad de AWS Identity and Access Management. Para identificar permisos innecesarios, puede usar el Analizador de acceso de IAM y así entender cómo modificar la política en función del historial de acceso. Para obtener más información, consulte Resultados de acceso externo y no utilizado en la Guía del usuario de AWS Identity and Access Management. Como alternativa, puede crear un nuevo rol de IAM para evitar afectar a otras aplicaciones que usan el rol existente. En este caso, cree un nuevo rol de IAM y luego asócielo a la instancia. Para obtener instrucciones sobre cómo reemplazar un rol de IAM de una instancia, consulte Cómo asociar un rol de IAM a una instancia en la Guía del usuario de Amazon Elastic Compute Cloud

Consideraciones para configuraciones seguras

Si la instancia requiere permisos administrativos a nivel de servicio, considere implementar estos controles de seguridad adicionales para mitigar el riesgo:.

Consideraciones para configuraciones seguras

Si la instancia requiere permisos administrativos a nivel de servicio, considere implementar estos controles de seguridad adicionales para mitigar el riesgo:.

• Autenticación multifactor (MFA): MFA agrega una capa adicional de seguridad al requerir una forma adicional de autenticación. Esto ayuda a evitar accesos no autorizados incluso si las credenciales se ven comprometidas. Para obtener más información, consulte Requisito de autenticación multifactor (MFA) en la Guía del usuario de AWS Identity and Access Management.

• Condiciones de IAM: la configuración de elementos de condición permite restringir cuándo y cómo se pueden usar permisos administrativos en función de factores como la dirección IP de origen o la antigüedad del MFA. Para obtener más información, consulte Uso de condiciones en políticas de IAM para restringir el acceso en la Guía del usuario de AWS Identity and Access Management.

• Límites de permisos: los límites de permisos establecen el máximo de permisos que un rol puede tener, con lo que se establece una barrera de protección para roles con acceso administrativo. Para obtener más información, consulte Uso de límites de permisos para delegar la administración de permisos dentro de una cuenta en la Guía del usuario de AWS Identity and Access Management.

Aplicación de actualizaciones a instancias en un grupo de escalado automático

Para EC2 las instancias de Amazon de un grupo de AWS autoescalado, actualiza la plantilla de lanzamiento o la configuración de lanzamiento con el nuevo perfil de instancia y realiza una actualización de la instancia. Para obtener información sobre cómo actualizar una plantilla de lanzamiento, consulte Modificación de una plantilla de lanzamiento (administrar versiones de plantillas de lanzamiento) en la Guía del usuario de Amazon Elastic Compute Cloud. Para obtener más información, consulte Cómo volver a cargar una instancia para actualizar instancias en un grupo de escalado automático. Para obtener más información sobre el uso de funciones de IAM con grupos de Auto Scaling, consulte Función de IAM para aplicaciones que se ejecutan en EC2 instancias de Amazon en la Guía del usuario de Amazon EC2 Auto Scaling.

La EC2 instancia de Amazon tiene un grupo de seguridad o ACL de red que permite el acceso SSH o RDP.

Los protocolos de acceso remoto, como SSH y RDP, permiten a los usuarios conectarse a las EC2 instancias de Amazon y administrarlas desde ubicaciones externas. Cuando los grupos de seguridad permiten el acceso sin restricciones a estos protocolos desde Internet, aumentan la superficie de ataque de sus EC2 instancias de Amazon al permitir el acceso de Internet a su instancia. Siguiendo los principios de seguridad estándar, se AWS recomienda limitar el acceso remoto a direcciones IP o rangos específicos y confiables.

1. Modificación de reglas de grupo de seguridad

   Restringe el acceso a tus EC2 instancias de Amazon a direcciones IP de confianza específicas. Limite el acceso SSH y RDP a direcciones IP específicas y de confianza, o utilice la notación CIDR para especificar rangos de IP (por ejemplo, 198.168.1.0/24). Para modificar las reglas del grupo de seguridad, consulte Configuración de reglas de grupos de seguridad en la Guía del usuario de Amazon Elastic Compute Cloud.

La EC2 instancia de Amazon tiene un grupo de seguridad abierto

Los grupos de seguridad actúan como firewalls virtuales para que sus EC2 instancias de Amazon controlen el tráfico entrante y saliente. Los grupos de seguridad abiertos, que permiten acceso sin restricciones desde cualquier dirección IP, pueden exponer las instancias a accesos no autorizados. Siguiendo los principios de seguridad estándar, AWS recomienda restringir el acceso de los grupos de seguridad a direcciones IP y puertos específicos.

Revisión de las reglas del grupo de seguridad y evaluación de la configuración actual

Evalúe qué puertos están abiertos y accesibles desde rangos amplios de direcciones IP, como (0.0.0.0/0 or ::/0). Para obtener instrucciones sobre cómo ver los detalles de los grupos de seguridad, consulte DescribeSecurityGroupsla referencia sobre el Asistente de portabilidad para la API.NET.

Modificación de reglas del grupo de seguridad

Modifique las reglas del grupo de seguridad para restringir el acceso únicamente a direcciones IP o rangos específicos y de confianza. Al actualizar las reglas del grupo de seguridad, considere separar los requisitos de acceso para distintos segmentos de red mediante la creación de reglas para cada rango de IP de origen requerido o la restricción del acceso únicamente a puertos específicos. Para modificar las reglas de los grupos de seguridad, consulte Configurar las reglas de los grupos de seguridad en la Guía del EC2 usuario de Amazon.

Características de accesibilidad de las instancias EC2

Estas son las características de accesibilidad de las EC2 instancias y las medidas de corrección sugeridas.

Se puede acceder a la EC2 instancia a través de Internet

Las EC2 instancias de Amazon con puertos a los que se puede acceder desde Internet a través de una puerta de enlace de Internet (incluidas las instancias detrás de los balanceadores de carga de aplicaciones o los balanceadores de carga clásicos), una conexión de emparejamiento de VPC o una puerta de enlace virtual de VPN pueden exponer la instancia a Internet. De acuerdo con los principios estándar de seguridad, recomendamos aplicar controles de acceso de red con privilegios mínimos al limitar el tráfico entrante únicamente a los orígenes y puertos necesarios.

Modificación o eliminación de reglas de grupos de seguridad

En la pestaña Recursos, abra el recurso para Amazon EC2 Security Group. Revise si la instancia requiere acceso a Internet para funcionar. Modifique o elimine reglas de grupos de seguridad entrantes que permiten acceso sin restricciones (0.0.0.0/0 o ::/0). Implemente reglas más restrictivas basadas en intervalos de direcciones IP específicos o en grupos de seguridad. Si se requiere un acceso público limitado, limite el acceso únicamente a los puertos y protocolos específicos necesarios para la función de la instancia. Para obtener instrucciones sobre la administración de las reglas de los grupos de seguridad, consulte Configurar las reglas de los grupos de seguridad en la Guía del EC2 usuario de Amazon.

Actualice la red ACLs

Revisa y modifica las listas de control de acceso a la red (ACLs) asociadas a la subred de la instancia. Verifique que la configuración de las ACL esté alineada con los cambios en el grupo de seguridad y que no permita acceso público de manera no intencionada. Para obtener instrucciones sobre cómo modificar la red ACLs, consulte Trabajar con la red ACLs en la Guía del usuario de Amazon VPC.

Métodos de acceso alternativos

Considere las siguientes opciones para métodos de acceso alternativos:

• Uso de una puerta de enlace de NAT para la conectividad saliente a Internet: para instancias en subredes privadas que requieren acceso a Internet (p. ej., para descargar actualizaciones), considere usar una puerta de enlace de NAT en lugar de asignar una dirección IP pública. Una puerta de enlace de NAT permite que las instancias en subredes privadas inicien conexiones salientes a Internet y evita las conexiones entrantes desde Internet.

• Utilice el administrador de sesiones de Systems Manager: el administrador de sesiones proporciona un acceso seguro desde el shell a sus EC2 instancias de Amazon sin necesidad de puertos de entrada, administrar claves SSH ni mantener hosts bastiones.

• Utilice WAF y ELB o Application Load Balancer: para las instancias que ejecutan aplicaciones web, considere la posibilidad de utilizar un LB combinado AWS con un firewall de aplicaciones web (WAF). LBs se puede configurar para permitir que las instancias se ejecuten en subredes privadas mientras que el LB se ejecuta en una subred pública y gestiona el tráfico de Internet. Agregar un WAF al equilibrador de carga proporciona protección adicional contra atques web que aprovechan las vulnerabilidades y bots.

Se puede acceder a la EC2 instancia de Amazon desde la VPC de Amazon

Amazon Virtual Private Cloud (Amazon VPC) le permite lanzar AWS recursos en una red virtual definida. Las configuraciones de red de Amazon VPC que permiten acceso sin restricciones entre instancias pueden ampliar el alcance de un ataque si una instancia se ve comprometida. Siguiendo las mejores prácticas de seguridad, AWS recomienda implementar la segmentación de la red y los controles de acceso con privilegios mínimos a nivel de subred y grupo de seguridad.

Revisión de los patrones de conectividad de red de Amazon VPC

En el hallazgo de exposición, identifique el ID del grupo de seguridad en el ARN. Encuentre qué instancias necesitan comunicarse entre sí y en qué puertos. Puede usar Registros de flujo de Amazon VPC para analizar los patrones de tráfico existentes en la Amazon VPC y determinar qué puertos están en uso.

Modificación de reglas del grupo de seguridad

Modifique las reglas del grupo de seguridad para restringir el acceso únicamente a direcciones IP o rangos específicos y de confianza. Por ejemplo, en lugar de permitir todo el tráfico proveniente de todo el rango CIDR de la VPC (p. ej., 10.0.0.0/16), limite el acceso a grupos de seguridad específicos o a rangos de IP concretos. Al actualizar las reglas del grupo de seguridad, considere separar los requisitos de acceso para distintos segmentos de red mediante la creación de reglas para cada rango de IP de origen requerido o la restricción del acceso únicamente a puertos específicos. Para modificar las reglas de los grupos de seguridad, consulte Configurar las reglas de los grupos de seguridad en la Guía del EC2 usuario de Amazon.

Considere organizar los recursos de Amazon VPC en subredes según los requisitos de seguridad o su función. Por ejemplo, ubique los servidores web y los servidores de bases de datos en subredes separadas. Para obtener más información, consulte Subredes para la VPC en la Guía del usuario de Amazon Virtual Private Cloud.

Configure la red ACLs para la protección a nivel de subred

Las listas de control de acceso a la red (NACLs) proporcionan un nivel de seguridad adicional a nivel de subred. A diferencia de los grupos de seguridad, no NACLs tienen estado y requieren que las reglas de entrada y salida estén definidas de forma explícita. Para obtener más información, consulte Control del tráfico de la subred con listas de control de acceso de red en la Guía del usuario de Amazon Virtual Private Cloud.

Consideraciones adicionales

Considere lo siguiente al restringir el acceso a la Amazon VPC

• Emparejamiento de Amazon VPC o Transit Gateway con enrutamiento restrictivo: si su arquitectura utiliza varios dispositivos VPCs que necesitan comunicarse, considere la posibilidad de utilizar AWS Transit Gateway y Amazon VPC peering para proporcionar conectividad entre Amazon y, al VPCs mismo tiempo, controlar qué subredes se pueden comunicar entre sí. Para obtener más información, consulte Introducción al uso de Puertas de enlace de tránsito de Amazon VPC y Conexiones de emparejamiento de Amazon VPC.

• Puntos de enlace de servicio y enlaces privados: los puntos de enlace de Amazon VPC se pueden utilizar para mantener el tráfico dentro de AWS la red y comunicarse AWS con los recursos en lugar de hacerlo a través de Internet. Esto reduce la necesidad de una conectividad directa entre instancias que acceden a los mismos servicios. Para obtener información sobre los puntos de conexión de VPC, consulte ¿Qué son los puntos de conexión de Amazon VPC? en la Guía del usuario de Amazon Virtual Private Cloud. Para la conectividad con los servicios alojados en otros Amazon VPCs, considere utilizarAWS PrivateLink.

Características de vulnerabilidad de EC2 las instancias

Estos son los rasgos de vulnerabilidad de las EC2 instancias y las medidas de corrección sugeridas.

EC2 La instancia tiene vulnerabilidades de software que pueden explotarse en la red con una alta probabilidad de explotación

Los paquetes de software que se instalan en EC2 las instancias pueden estar expuestos a vulnerabilidades y exposiciones comunes (). CVEs Las críticas CVEs representan riesgos de seguridad importantes para su AWS entorno. Entidades principales no autorizadas pueden aprovechar estas vulnerabilidades sin parches de revisión para comprometer la confidencialidad, integridad o disponibilidad de los datos, o para acceder a otros sistemas. Las vulnerabilidades críticas con alta probabilidad de explotación representan amenazas de seguridad inmediatas, ya que el código de explotación puede estar disponible públicamente y ser utilizado activamente por atacantes o por herramientas automatizadas de detección. Recomendamos aplicar parches de revisión para corregir estas vulnerabilidades y proteger la instancia.

Actualización de las instancias afectadas

Consulte la sección Referencias en la pestaña Vulnerabilidad de la condición. La documentación del proveedor puede incluir instrucciones específicas de remediación. Aplique la remediación correspondiente según estas pautas generales:

Use el Administrador de parches de Systems Manager para aplicar parches tanto al sistema operativo como a las aplicaciones. El Administrador de parches ayuda a seleccionar e implementar parches de sistema operativo y de software de manera automática en grandes grupos de instancias. Si no tiene el Administrador de parches configurado, actualice manualmente el sistema operativo en cada instancia afectada.

Actualice las aplicaciones afectadas a sus versiones seguras más recientes según los procedimientos recomendados por el proveedor. Para administrar las actualizaciones de aplicaciones en varias instancias, considere usar Systems Manager State Manager para mantener el software en un estado coherente. Si no hay actualizaciones disponibles, considere eliminar o desactivar la aplicación vulnerable hasta que se publique un parche u otras medidas de mitigación, como limitar el acceso de red únicamente a la aplicación o desactivar las características vulnerables.

Siga las recomendaciones de remediación específicas incluidas en el resultado de Amazon Inspector. Esto podría implicar cambiar las reglas de grupos de seguridad, modificar las configuraciones de la instancia o ajustar la configuración de la aplicación.

Verifique si la instancia forma parte de un grupo de escalado automático. Los parches de reemplazo de la AMI se realizan en infraestructuras inmutables mediante la actualización del ID de AMI que está configurado para implementar nuevas instancias de Amazon en EC2 un grupo de Auto Scaling. Si utiliza una custom/golden AMI, cree una instancia con la nueva AMI y, a continuación, personalice la instancia y cree una nueva AMI dorada. Para obtener más información, consulte la AMI actualiza los parches (uso de parches AMIs para grupos de Auto Scaling).

Consideraciones futuras

Para evitar incidentes futuros, considere implementar un programa de administración de vulnerabilidades. Amazon Inspector se puede configurar para CVEs que escanee automáticamente sus instancias. Amazon Inspector también se puede integrar con el CSPM de Security Hub para realizar remediaciones automáticas. Considere implementar un programa regular de aplicación de parches con las Ventanas de mantenimiento de Systems Manager para minimizar la interrupción en las instancias.

La EC2 instancia de Amazon tiene vulnerabilidades de software

Los paquetes de software que se instalan en EC2 las instancias de Amazon pueden estar expuestos a vulnerabilidades y exposiciones comunes (CVEs). Los no críticos CVEs representan debilidades de seguridad con menor gravedad o capacidad de explotación en comparación con los críticos. CVEs Aunque estas vulnerabilidades representan un riesgo menos inmediato, los atacantes aún pueden aprovechar estas vulnerabilidades sin parches para comprometer la confidencialidad, integridad o disponibilidad de los datos, o para acceder a otros sistemas. Siguiendo las mejores prácticas de seguridad, AWS recomienda parchear estas vulnerabilidades para proteger la instancia de los ataques.

Actualización de las instancias afectadas

Utilice el Administrador de parches de AWS Systems Manager para aplicar parches a los sistemas operativos. El Administrador de parches ayuda a seleccionar e implementar parches de sistema operativo y de software de manera automática en grandes grupos de instancias. Si no tiene el Administrador de parches configurado, actualice manualmente el sistema operativo en cada instancia afectada.

Actualice las aplicaciones afectadas a sus versiones seguras más recientes según los procedimientos recomendados por el proveedor. Para gestionar las actualizaciones de las aplicaciones en varias instancias, considere la posibilidad de utilizar AWS Systems Manager State Manager para mantener el software en un estado uniforme. Si no hay actualizaciones disponibles, considere eliminar o desactivar la aplicación vulnerable hasta que se publique un parche u otras medidas de mitigación, como limitar el acceso de red únicamente a la aplicación o desactivar las características vulnerables.

Siga las recomendaciones de remediación específicas incluidas en el resultado de Amazon Inspector. Esto podría implicar cambiar las reglas de grupos de seguridad, modificar las configuraciones de la instancia o ajustar la configuración de la aplicación.

Verifique si la instancia forma parte de un grupo de escalado automático. Los parches de reemplazo de la AMI se realizan en infraestructuras inmutables mediante la actualización del ID de AMI que está configurado para implementar nuevas instancias de Amazon en EC2 un grupo de Auto Scaling. Si utiliza una custom/golden AMI, cree una instancia con la nueva AMI y, a continuación, personalice la instancia y cree una nueva AMI dorada. Para obtener más información, consulte la AMI actualiza los parches (uso de parches AMIs para grupos de Auto Scaling).

Consideraciones futuras

Para evitar incidentes futuros, considere implementar un programa de administración de vulnerabilidades. Amazon Inspector se puede configurar para CVEs que escanee automáticamente sus instancias. Amazon Inspector también se puede integrar con el CSPM de Security Hub para realizar remediaciones automáticas. Considere implementar un programa regular de aplicación de parches con las Ventanas de mantenimiento de Systems Manager para minimizar la interrupción en las instancias.

La EC2 instancia tiene un sistema End-Of-Life operativo

La EC2 instancia ejecuta un sistema end-of-life operativo que el desarrollador original ya no admite ni mantiene. Esto expone la instancia a vulnerabilidades de seguridad y a posibles ataques. Cuando los sistemas operativos llegan end-of-life, los proveedores suelen dejar de publicar nuevos avisos de seguridad. Los avisos de seguridad existentes también se pueden eliminar de los ficheros de proveedores. Como resultado, Amazon Inspector podría dejar de generar hallazgos de forma conocida CVEs, lo que crearía más brechas en la cobertura de seguridad.

Consulte Sistemas operativos descatalogados en la Guía del usuario de Amazon Inspector para obtener información sobre los sistemas operativos que han llegado al final de su vida útil y que Amazon Inspector puede detectar.

Actualice a una versión de sistema operativo compatible

Se recomienda actualizar el sistema operativo a una versión compatible. En la búsqueda de exposición, abra el recurso para acceder al recurso afectado. Antes de actualizar la versión del sistema operativo de su instancia, consulte las versiones disponibles en Sistemas operativos compatibles en la Guía del usuario de Amazon Inspector para obtener una lista de las versiones de sistema operativo compatibles actualmente.

La EC2 instancia tiene paquetes de software malintencionados

Los paquetes maliciosos son componentes de software que contienen código dañino diseñado para comprometer la confidencialidad, integridad y disponibilidad de sus sistemas y datos. Los paquetes maliciosos representan una amenaza activa y crítica para su instancia, ya que los atacantes pueden ejecutar código malicioso automáticamente sin aprovechar una vulnerabilidad. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda eliminar los paquetes maliciosos para proteger la instancia de posibles ataques.

Elimine los paquetes maliciosos

Revise los detalles de los paquetes maliciosos en la sección Referencias de la pestaña Vulnerabilidad de la característica para comprender la amenaza. Elimine los paquetes maliciosos identificados con el administrador de paquetes adecuado. Consulte la herramienta de administración de paquetes en la Guía del usuario de Amazon Linux 2023 para ver un ejemplo. Tras eliminar los paquetes maliciosos, considere la posibilidad de realizar un análisis para asegurarse de que se hayan eliminado todos los paquetes que puedan haber sido instalados por el código malicioso. Para obtener más información, consulte Iniciar el análisis de software malicioso bajo demanda GuardDuty en el.

La EC2 instancia tiene archivos maliciosos

Los archivos maliciosos contienen código dañino diseñado para comprometer la confidencialidad, integridad y disponibilidad de sus sistemas y datos. Los archivos maliciosos representan una amenaza activa y crítica para su instancia, ya que los atacantes pueden ejecutar código malicioso automáticamente sin aprovechar una vulnerabilidad. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda eliminar los archivos maliciosos para proteger la instancia de posibles ataques.

Elimine los archivos maliciosos

Para identificar el volumen específico de Amazon Elastic Block Store (Amazon EBS) que contiene archivos maliciosos, consulta la sección Recursos de los detalles de búsqueda de la característica. Una vez que haya identificado el volumen con el archivo malicioso, elimine los archivos maliciosos identificados. Tras eliminar los archivos maliciosos, considere la posibilidad de realizar un análisis para asegurarse de que se hayan eliminado todos los archivos que puedan haber sido instalados por el archivo malintencionado. Para obtener más información, consulte Iniciar el análisis de software malicioso bajo demanda GuardDuty en el.