Remediación de exposiciones para instancias de EC2

AWS Security Hub puede generar resultados de exposición para las instancias de Amazon Elastic Compute Cloud (EC2), E/CNEC2).

En la consola de Security Hub, la instancia de EC2 implicada en un resultado de exposición y su información de identificación aparecen en la sección Recursos de los detalles del resultado. De forma programática, puede recuperar los detalles de los recursos con el GetFindingsV2funcionamiento de la API CSPM de Security Hub.

Después de identificar el recurso involucrado en un resultado de exposición, puede eliminar el recurso si no lo necesita. Eliminar un recurso no esencial puede reducir su perfil de exposición y sus costes. AWS Si el recurso es esencial, siga estos pasos de remediación recomendados para ayudar a mitigar el riesgo. Los temas de remediación se dividen según el tipo de condición.

Un único resultado de exposición puede incluir problemas identificados en varios temas de remediación. También es posible abordar un resultado de exposición y disminuir su nivel de gravedad con solo tratar uno de los temas de remediación. El enfoque de remediación adecuado depende de los requisitos y cargas de trabajo de la organización.

nota

La guía de remediación que se proporciona en este tema puede requerir consultas adicionales en otros AWS recursos.

Contenido

• Condiciones de configuración incorrecta para instancias de EC2

  • La instancia de EC2 permite el acceso a IMDS mediante la versión 1.

  • El rol de IAM asociado a la instancia de Amazon EC2 tiene una política de acceso administrativo.

  • El rol de IAM asociado a la instancia de Amazon EC2 tiene una política de administración del servicio

  • La instancia de Amazon EC2 tiene un grupo de seguridad o ACL de red que permite el acceso SSH o RDP.

  • La instancia de Amazon EC2 tiene un grupo de seguridad abierto

• Condiciones de accesibilidad para instancias de EC2

  • Se puede acceder a la instancia de EC2 a través de Internet

  • Se puede acceder a la instancia de Amazon EC2 dentro de Amazon VPC.

• Condiciones de vulnerabilidad para instancias de EC2

  • La instancia de EC2 presenta vulnerabilidades de software explotables a través de la red con una probabilidad alta de explotación

  • La instancia de Amazon EC2 presenta vulnerabilidades de software.

  • La instancia EC2 tiene un End-Of-Life sistema operativo

  • La instancia EC2 tiene paquetes de software malintencionados

  • La instancia EC2 contiene archivos maliciosos

Condiciones de configuración incorrecta para instancias de EC2

Aquí se describen las condiciones de configuración incorrecta para instancias de EC2 y los pasos de remediación sugeridos.

La instancia de EC2 permite el acceso a IMDS mediante la versión 1.

Los metadatos de instancia son datos sobre la instancia de Amazon EC2 que las aplicaciones pueden usar para configurar o administrar la instancia en ejecución. El servicio de metadatos de instancia (IMDS) es un componente de la instancia que utiliza el código de instancia para acceder de forma segura a los metadatos de la instancia. Si el IMDS no está debidamente protegido, puede convertirse en un posible vector de ataque, ya que proporciona acceso a credenciales temporales y a otros datos de configuración confidenciales. IMDSv2 proporciona una mayor protección contra la explotación mediante la autenticación orientada a la sesión, que requiere un token de sesión para las solicitudes de metadatos y limita la duración de la sesión. Siguiendo los principios de seguridad estándar, se AWS recomienda configurar las instancias de Amazon EC2 para usarlas IMDSv2 y deshabilitarlas. IMDSv1

Prueba de la compatibilidad de aplicaciones

Antes de IMDSv2 implementarla, pruebe la instancia para garantizar su compatibilidad con IMDSv2. Es posible que algunas aplicaciones o scripts requieran una IMDSv1 funcionalidad básica y una configuración adicional. Para obtener más información sobre herramientas y rutas recomendadas para probar la compatibilidad de aplicaciones, consulte Transición al uso de la versión 2 del servicio de metadatos de instancias (IMDS) en la Guía del usuario de Amazon Elastic Compute Cloud.

Actualice la instancia que desee utilizar IMDSv2

Modifique las instancias existentes para usarlas IMDSv2. Para obtener más información, consulte Modificación de las opciones de metadatos de instancia para instancias existentes en la Guía del usuario de Amazon Elastic Compute Cloud.

Aplicación de actualizaciones a instancias en un grupo de escalado automático

Si la instancia forma parte de un grupo de escalado automático, actualice la plantilla de lanzamiento o configuración de lanzamiento con una nueva configuración y vuelva a cargar la instancia.

El rol de IAM asociado a la instancia de Amazon EC2 tiene una política de acceso administrativo.

Las políticas de acceso administrativo proporcionan a las instancias de Amazon EC2 amplios permisos Servicios de AWS y recursos. Estas políticas suelen incluir permisos que no son necesarios para la funcionalidad de la instancia. Proporcionar a una identidad de IAM una política de acceso administrativo en una instancia de Amazon EC2 (en lugar del conjunto mínimo de permisos que requiere el rol asignado al perfil de instancia) puede aumentar el alcance de un ataque si la instancia de Amazon EC2 se ve comprometida. Si una instancia se ve comprometida, los atacantes podrían aprovechar estos permisos excesivos para desplazarse lateralmente por el entorno, acceder a datos o manipular recursos. Según los principios estándar de seguridad, recomendamos otorgar privilegios mínimos, lo que significa conceder únicamente los permisos necesarios para realizar una tarea.

Revisión e identificación de políticas administrativas

En el panel de IAM, busque el rol por su nombre. Revise la política de permisos asociada al rol de IAM. Si la política es una política AWS administrada, busque AdministratorAccess oIAMFullAccess. De lo contrario, en el documento de la política, busque declaraciones con "Effect": "Allow", "Action": "*" y "Resource": "*".

Implementación del acceso a los privilegios mínimos

Reemplace las políticas administrativas por políticas que otorguen únicamente los permisos específicos requeridos para que la instancia funcione. Para obtener más información sobre las prácticas recomendadas de seguridad para roles de IAM, consulte Aplicación de permisos de privilegios mínimos en Prácticas recomendadas de seguridad en la Guía del usuario de AWS Identity and Access Management . Para identificar permisos innecesarios, puede usar el Analizador de acceso de IAM y así entender cómo modificar la política en función del historial de acceso. Para obtener más información, consulte Resultados de acceso externo y no utilizado en la Guía del usuario de AWS Identity and Access Management . Como alternativa, puede crear un nuevo rol de IAM para evitar afectar a otras aplicaciones que usan el rol existente. En este caso, cree un nuevo rol de IAM y luego asócielo a la instancia. Para obtener instrucciones sobre cómo reemplazar un rol de IAM de una instancia, consulte Cómo asociar un rol de IAM a una instancia en la Guía del usuario de Amazon Elastic Compute Cloud.

Consideraciones para configuraciones seguras

Si la instancia requiere permisos administrativos a nivel de servicio, considere implementar estos controles de seguridad adicionales para mitigar el riesgo:.

• Consideraciones para configuraciones seguras

  • Autenticación multifactor (MFA): MFA agrega una capa adicional de seguridad al requerir una forma adicional de autenticación. Esto ayuda a evitar accesos no autorizados incluso si las credenciales se ven comprometidas. Para obtener más información, consulte Requisito de autenticación multifactor (MFA) en la Guía del usuario de AWS Identity and Access Management .

  • Condiciones de IAM: la configuración de elementos de condición permite restringir cuándo y cómo se pueden usar permisos administrativos en función de factores como la dirección IP de origen o la antigüedad del MFA. Para obtener más información, consulte Uso de condiciones en políticas de IAM para restringir el acceso en la Guía del usuario de AWS Identity and Access Management .

  • Límites de permisos: los límites de permisos establecen el máximo de permisos que un rol puede tener, con lo que se establece una barrera de protección para roles con acceso administrativo. Para obtener más información, consulte Uso de límites de permisos para delegar la administración de permisos dentro de una cuenta en la Guía del usuario de AWS Identity and Access Management .

Aplicación de actualizaciones a instancias en un grupo de escalado automático

Para las instancias de Amazon EC2 de un grupo de AWS autoescalado, actualice la plantilla de lanzamiento o la configuración de lanzamiento con el nuevo perfil de instancia y realice una actualización de la instancia. Para obtener información sobre cómo actualizar una plantilla de lanzamiento, consulte Modificación de una plantilla de lanzamiento (administrar versiones de plantillas de lanzamiento) en la Guía del usuario de Amazon Elastic Compute Cloud. Para obtener más información, consulte Cómo volver a cargar una instancia para actualizar instancias en un grupo de escalado automático. Para obtener más información sobre el uso de roles de IAM con grupos de escalado automático, consulte Rol de IAM para aplicaciones que se ejecutan en instancias de Amazon EC2 en la Guía del usuario de Amazon EC2 Auto Scaling.

El rol de IAM asociado a la instancia de Amazon EC2 tiene una política de administración del servicio

Las políticas de acceso a los servicios proporcionan a las instancias de Amazon EC2 amplios permisos para los AWS servicios y los recursos. Estas políticas suelen incluir permisos que no son necesarios para la funcionalidad de la instancia. Proporcionar a una identidad de IAM una política de acceso administrativo en una instancia de Amazon EC2, en lugar del conjunto mínimo de permisos que requiere el rol asociado al perfil de la instancia, puede ampliar el alcance de un ataque si la instancia de Amazon EC2 se ve comprometida. Según principios estándar de seguridad, recomendamos conceder el menor privilegio, lo que significa otorgar únicamente los permisos necesarios para realizar una tarea.

Revisión e identificación de políticas administrativas

En el panel de IAM, busque el rol por su nombre. Revise la política de permisos asociada al rol de IAM. Si la política es una política AWS administrada, busque AdministratorAccess oIAMFullAccess. De lo contrario, en el documento de la política, busque declaraciones con "Effect": "Allow", "Action": "*" y "Resource": "*".

Implementación del acceso a los privilegios mínimos

Reemplace las políticas de administración del servicio con aquellas que otorguen únicamente los permisos específicos necesarios para que la instancia funcione. Para obtener más información sobre las prácticas recomendadas de seguridad para roles de IAM, consulte Aplicación de permisos de privilegio mínimo en Prácticas recomendadas de seguridad de AWS Identity and Access Management . Para identificar permisos innecesarios, puede usar el Analizador de acceso de IAM y así entender cómo modificar la política en función del historial de acceso. Para obtener más información, consulte Resultados de acceso externo y no utilizado en la Guía del usuario de AWS Identity and Access Management . Como alternativa, puede crear un nuevo rol de IAM para evitar afectar a otras aplicaciones que usan el rol existente. En este caso, cree un nuevo rol de IAM y luego asócielo a la instancia. Para obtener instrucciones sobre cómo reemplazar un rol de IAM de una instancia, consulte Cómo asociar un rol de IAM a una instancia en la Guía del usuario de Amazon Elastic Compute Cloud

Consideraciones para configuraciones seguras

Si la instancia requiere permisos administrativos a nivel de servicio, considere implementar estos controles de seguridad adicionales para mitigar el riesgo:.

Consideraciones para configuraciones seguras

Si la instancia requiere permisos administrativos a nivel de servicio, considere implementar estos controles de seguridad adicionales para mitigar el riesgo:.

• Autenticación multifactor (MFA): MFA agrega una capa adicional de seguridad al requerir una forma adicional de autenticación. Esto ayuda a evitar accesos no autorizados incluso si las credenciales se ven comprometidas. Para obtener más información, consulte Requisito de autenticación multifactor (MFA) en la Guía del usuario de AWS Identity and Access Management .

• Condiciones de IAM: la configuración de elementos de condición permite restringir cuándo y cómo se pueden usar permisos administrativos en función de factores como la dirección IP de origen o la antigüedad del MFA. Para obtener más información, consulte Uso de condiciones en políticas de IAM para restringir el acceso en la Guía del usuario de AWS Identity and Access Management .

• Límites de permisos: los límites de permisos establecen el máximo de permisos que un rol puede tener, con lo que se establece una barrera de protección para roles con acceso administrativo. Para obtener más información, consulte Uso de límites de permisos para delegar la administración de permisos dentro de una cuenta en la Guía del usuario de AWS Identity and Access Management .

Aplicación de actualizaciones a instancias en un grupo de escalado automático

Para las instancias de Amazon EC2 de un grupo de AWS autoescalado, actualice la plantilla de lanzamiento o la configuración de lanzamiento con el nuevo perfil de instancia y realice una actualización de la instancia. Para obtener información sobre cómo actualizar una plantilla de lanzamiento, consulte Modificación de una plantilla de lanzamiento (administrar versiones de plantillas de lanzamiento) en la Guía del usuario de Amazon Elastic Compute Cloud. Para obtener más información, consulte Cómo volver a cargar una instancia para actualizar instancias en un grupo de escalado automático. Para obtener más información sobre el uso de roles de IAM con grupos de escalado automático, consulte Rol de IAM para aplicaciones que se ejecutan en instancias de Amazon EC2 en la Guía del usuario de Amazon EC2 Auto Scaling.

La instancia de Amazon EC2 tiene un grupo de seguridad o ACL de red que permite el acceso SSH o RDP.

Los protocolos de acceso remoto como SSH y RDP permiten que los usuarios se conecten y administren instancias de Amazon EC2 desde ubicaciones externas. Cuando los grupos de seguridad permiten acceso sin restricciones a estos protocolos desde Internet, aumentan la superficie de las instancias de Amazon EC2 expuesta a ataques al permitir acceso desde Internet a la instancia. Siguiendo los principios de seguridad estándar, se AWS recomienda limitar el acceso remoto a direcciones IP o rangos específicos y confiables.

1. Modificación de reglas de grupo de seguridad

   Restrinja el acceso a las instancias de Amazon EC2 únicamente a direcciones IP específicas y de confianza. Limite el acceso SSH y RDP a direcciones IP específicas y de confianza, o utilice la notación CIDR para especificar rangos de IP (por ejemplo, 198.168.1.0/24). Para modificar las reglas del grupo de seguridad, consulte Configuración de reglas de grupos de seguridad en la Guía del usuario de Amazon Elastic Compute Cloud.

La instancia de Amazon EC2 tiene un grupo de seguridad abierto

Los grupos de seguridad actúan como firewalls virtuales para controlar el tráfico entrante y saliente de las instancias de Amazon EC2. Los grupos de seguridad abiertos, que permiten acceso sin restricciones desde cualquier dirección IP, pueden exponer las instancias a accesos no autorizados. Siguiendo los principios de seguridad estándar, AWS recomienda restringir el acceso de los grupos de seguridad a direcciones IP y puertos específicos.

Revisión de las reglas del grupo de seguridad y evaluación de la configuración actual

Evalúe qué puertos están abiertos y accesibles desde rangos amplios de direcciones IP, como (0.0.0.0/0 or ::/0). Para obtener instrucciones sobre cómo ver los detalles de los grupos de seguridad, consulte DescribeSecurityGroupsla referencia sobre el Asistente de portabilidad para la API.NET.

Modificación de reglas del grupo de seguridad

Modifique las reglas del grupo de seguridad para restringir el acceso únicamente a direcciones IP o rangos específicos y de confianza. Al actualizar las reglas del grupo de seguridad, considere separar los requisitos de acceso para distintos segmentos de red mediante la creación de reglas para cada rango de IP de origen requerido o la restricción del acceso únicamente a puertos específicos. Para modificar las reglas del grupo de seguridad, consulte Configuración de reglas de grupos de seguridad en la Guía del usuario de Amazon EC2.

Condiciones de accesibilidad para instancias de EC2

Estas son las condiciones de accesibilidad para instancias de EC2 y los pasos de remediación sugeridos.

Se puede acceder a la instancia de EC2 a través de Internet

Las instancias de Amazon EC2 con puertos a los que se puede acceder a través de Internet mediante una puerta de enlace de Internet (incluidas las instancias detrás de equilibradores de carga de aplicaciones o equilibradores de cagra clásicos), una conexión de emparejamiento de VPC o una puerta de enlace virtual de VPN pueden exponer la instancia a Internet. De acuerdo con los principios estándar de seguridad, recomendamos aplicar controles de acceso de red con privilegios mínimos al limitar el tráfico entrante únicamente a los orígenes y puertos necesarios.

Modificación o eliminación de reglas de grupos de seguridad

En la pestaña Recursos, abra el recurso del grupo de seguridad de Amazon EC2. Revise si la instancia requiere acceso a Internet para funcionar. Modifique o elimine reglas de grupos de seguridad entrantes que permiten acceso sin restricciones (0.0.0.0/0 o ::/0). Implemente reglas más restrictivas basadas en intervalos de direcciones IP específicos o en grupos de seguridad. Si se requiere un acceso público limitado, limite el acceso únicamente a los puertos y protocolos específicos necesarios para la función de la instancia. Para obtener instrucciones sobre cómo administrar las reglas de grupos de seguridad, consulte Configuración de reglas de grupos de seguridad en la Guía del usuario de Amazon EC2.

Actualice la red ACLs

Revisa y modifica las listas de control de acceso a la red (ACLs) asociadas a la subred de la instancia. Verifique que la configuración de las ACL esté alineada con los cambios en el grupo de seguridad y que no permita acceso público de manera no intencionada. Para obtener instrucciones sobre cómo modificar la red ACLs, consulte Trabajar con la red ACLs en la Guía del usuario de Amazon VPC.

Métodos de acceso alternativos

Considere las siguientes opciones para métodos de acceso alternativos:

• Uso de una puerta de enlace de NAT para la conectividad saliente a Internet: para instancias en subredes privadas que requieren acceso a Internet (p. ej., para descargar actualizaciones), considere usar una puerta de enlace de NAT en lugar de asignar una dirección IP pública. Una puerta de enlace de NAT permite que las instancias en subredes privadas inicien conexiones salientes a Internet y evita las conexiones entrantes desde Internet.

• Uso del Administrador de sesiones de Systems Manager Session Manager: el Administrador de sesiones proporciona acceso seguro con intérprete de comandos a las instancias de Amazon EC2 sin necesidad de habilitar puertos entrantes, administrar claves SSH o mantener hosts bastión.

• Utilice WAF y Elastic Load Balancing o Application Load Balancer: en el caso de las instancias que ejecutan aplicaciones web, considere la posibilidad de utilizar un LB combinado AWS con Web Application Firewall (WAF). LBs se puede configurar para permitir que las instancias se ejecuten en subredes privadas mientras que el LB se ejecuta en una subred pública y gestiona el tráfico de Internet. Agregar un WAF al equilibrador de carga proporciona protección adicional contra atques web que aprovechan las vulnerabilidades y bots.

Se puede acceder a la instancia de Amazon EC2 dentro de Amazon VPC.

Amazon Virtual Private Cloud (Amazon VPC) le permite lanzar AWS recursos en una red virtual definida. Las configuraciones de red de Amazon VPC que permiten acceso sin restricciones entre instancias pueden ampliar el alcance de un ataque si una instancia se ve comprometida. Siguiendo las mejores prácticas de seguridad, AWS recomienda implementar la segmentación de la red y los controles de acceso con privilegios mínimos a nivel de subred y grupo de seguridad.

Revisión de los patrones de conectividad de red de Amazon VPC

En el hallazgo de exposición, identifique el ID del grupo de seguridad en el ARN. Encuentre qué instancias necesitan comunicarse entre sí y en qué puertos. Puede usar Registros de flujo de Amazon VPC para analizar los patrones de tráfico existentes en la Amazon VPC y determinar qué puertos están en uso.

Modificación de reglas del grupo de seguridad

Modifique las reglas del grupo de seguridad para restringir el acceso únicamente a direcciones IP o rangos específicos y de confianza. Por ejemplo, en lugar de permitir todo el tráfico proveniente de todo el rango CIDR de la VPC (p. ej., 10.0.0.0/16), limite el acceso a grupos de seguridad específicos o a rangos de IP concretos. Al actualizar las reglas del grupo de seguridad, considere separar los requisitos de acceso para distintos segmentos de red mediante la creación de reglas para cada rango de IP de origen requerido o la restricción del acceso únicamente a puertos específicos. Para modificar las reglas de los grupos de seguridad, consulte Configurar las reglas de los grupos de seguridad en la Guía del usuario de Amazon EC2.

Considere organizar los recursos de Amazon VPC en subredes según los requisitos de seguridad o su función. Por ejemplo, ubique los servidores web y los servidores de bases de datos en subredes separadas. Para obtener más información, consulte Subredes para la VPC en la Guía del usuario de Amazon Virtual Private Cloud.

Configure la red ACLs para la protección a nivel de subred

Las listas de control de acceso a la red (NACLs) proporcionan un nivel de seguridad adicional a nivel de subred. A diferencia de los grupos de seguridad, no NACLs tienen estado y requieren que las reglas de entrada y salida estén definidas de forma explícita. Para obtener más información, consulte Control del tráfico de la subred con listas de control de acceso de red en la Guía del usuario de Amazon Virtual Private Cloud.

Consideraciones adicionales

Considere lo siguiente al restringir el acceso a la Amazon VPC

• Emparejamiento de Amazon VPC o Transit Gateway con enrutamiento restrictivo: si su arquitectura utiliza varios dispositivos VPCs que necesitan comunicarse, considere la posibilidad de utilizar AWS Transit Gateway y Amazon VPC peering para proporcionar conectividad entre Amazon y, al VPCs mismo tiempo, controlar qué subredes se pueden comunicar entre sí. Para obtener más información, consulte Introducción al uso de Puertas de enlace de tránsito de Amazon VPC y Conexiones de emparejamiento de Amazon VPC.

• Puntos de enlace de servicio y enlaces privados: los puntos de enlace de Amazon VPC se pueden utilizar para mantener el tráfico dentro de AWS la red y comunicarse AWS con los recursos en lugar de hacerlo a través de Internet. Esto reduce la necesidad de una conectividad directa entre instancias que acceden a los mismos servicios. Para obtener información sobre los puntos de conexión de VPC, consulte ¿Qué son los puntos de conexión de Amazon VPC? en la Guía del usuario de Amazon Virtual Private Cloud. Para la conectividad con los servicios alojados en otros Amazon VPCs, considere utilizar AWS PrivateLink.

Condiciones de vulnerabilidad para instancias de EC2

Estas son las condiciones de vulnerabilidad para instancias de EC2 y los pasos de remediación sugeridos.

La instancia de EC2 presenta vulnerabilidades de software explotables a través de la red con una probabilidad alta de explotación

Los paquetes de software que se instalan en las instancias EC2 pueden estar expuestos a vulnerabilidades y exposiciones comunes ()CVEs. Las críticas CVEs representan riesgos de seguridad importantes para su entorno. AWS Entidades principales no autorizadas pueden aprovechar estas vulnerabilidades sin parches de revisión para comprometer la confidencialidad, integridad o disponibilidad de los datos, o para acceder a otros sistemas. Las vulnerabilidades críticas con alta probabilidad de explotación representan amenazas de seguridad inmediatas, ya que el código de explotación puede estar disponible públicamente y ser utilizado activamente por atacantes o por herramientas automatizadas de detección. Recomendamos aplicar parches de revisión para corregir estas vulnerabilidades y proteger la instancia.

Actualización de las instancias afectadas

Consulte la sección Referencias en la pestaña Vulnerabilidad de la condición. La documentación del proveedor puede incluir instrucciones específicas de remediación. Aplique la remediación correspondiente según estas pautas generales:

Use el Administrador de parches de Systems Manager para aplicar parches tanto al sistema operativo como a las aplicaciones. El Administrador de parches ayuda a seleccionar e implementar parches de sistema operativo y de software de manera automática en grandes grupos de instancias. Si no tiene el Administrador de parches configurado, actualice manualmente el sistema operativo en cada instancia afectada.

Actualice las aplicaciones afectadas a sus versiones seguras más recientes según los procedimientos recomendados por el proveedor. Para administrar las actualizaciones de aplicaciones en varias instancias, considere usar Systems Manager State Manager para mantener el software en un estado coherente. Si no hay actualizaciones disponibles, considere eliminar o desactivar la aplicación vulnerable hasta que se publique un parche u otras medidas de mitigación, como limitar el acceso de red únicamente a la aplicación o desactivar las características vulnerables.

Siga las recomendaciones de remediación específicas incluidas en el resultado de Amazon Inspector. Esto podría implicar cambiar las reglas de grupos de seguridad, modificar las configuraciones de la instancia o ajustar la configuración de la aplicación.

Verifique si la instancia forma parte de un grupo de escalado automático. La aplicación de parches mediante reemplazo de AMI se realiza en infraestructuras inmutables al actualizar el ID de la AMI que está configurado para implementar nuevas instancias de Amazon EC2 en un grupo de escalado automático. Si utiliza una custom/golden AMI, cree una instancia con la nueva AMI y, a continuación, personalice la instancia y cree una nueva AMI dorada. Para obtener más información, consulte la AMI actualiza los parches (uso de parches AMIs para grupos de Auto Scaling).

Consideraciones futuras

Para evitar incidentes futuros, considere implementar un programa de administración de vulnerabilidades. Amazon Inspector se puede configurar para CVEs que escanee automáticamente sus instancias. Amazon Inspector también se puede integrar con el CSPM de Security Hub para realizar remediaciones automáticas. Considere implementar un programa regular de aplicación de parches con las Ventanas de mantenimiento de Systems Manager para minimizar la interrupción en las instancias.

La instancia de Amazon EC2 presenta vulnerabilidades de software.

Los paquetes de software que se instalan en las instancias de Amazon EC2 pueden estar expuestos a vulnerabilidades y exposiciones comunes (). CVEs Los no críticos CVEs representan debilidades de seguridad con menor gravedad o capacidad de explotación en comparación con los puntos críticos. CVEs Aunque estas vulnerabilidades representan un riesgo menos inmediato, los atacantes aún pueden aprovechar estas vulnerabilidades sin parches para comprometer la confidencialidad, integridad o disponibilidad de los datos, o para acceder a otros sistemas. Siguiendo las mejores prácticas de seguridad, AWS recomienda parchear estas vulnerabilidades para proteger la instancia de los ataques.

Actualización de las instancias afectadas

Utilice el Administrador de parches de AWS Systems Manager para aplicar parches a los sistemas operativos. El Administrador de parches ayuda a seleccionar e implementar parches de sistema operativo y de software de manera automática en grandes grupos de instancias. Si no tiene el Administrador de parches configurado, actualice manualmente el sistema operativo en cada instancia afectada.

Actualice las aplicaciones afectadas a sus versiones seguras más recientes según los procedimientos recomendados por el proveedor. Para gestionar las actualizaciones de las aplicaciones en varias instancias, considere la posibilidad de utilizar AWS Systems Manager State Manager para mantener el software en un estado uniforme. Si no hay actualizaciones disponibles, considere eliminar o desactivar la aplicación vulnerable hasta que se publique un parche u otras medidas de mitigación, como limitar el acceso de red únicamente a la aplicación o desactivar las características vulnerables.

Siga las recomendaciones de remediación específicas incluidas en el resultado de Amazon Inspector. Esto podría implicar cambiar las reglas de grupos de seguridad, modificar las configuraciones de la instancia o ajustar la configuración de la aplicación.

Verifique si la instancia forma parte de un grupo de escalado automático. La aplicación de parches mediante reemplazo de AMI se realiza en infraestructuras inmutables al actualizar el ID de la AMI que está configurado para implementar nuevas instancias de Amazon EC2 en un grupo de escalado automático. Si utiliza una custom/golden AMI, cree una instancia con la nueva AMI y, a continuación, personalice la instancia y cree una nueva AMI dorada. Para obtener más información, consulte la AMI actualiza los parches (uso de parches AMIs para grupos de Auto Scaling).

Consideraciones futuras

Para evitar incidentes futuros, considere implementar un programa de administración de vulnerabilidades. Amazon Inspector se puede configurar para CVEs que escanee automáticamente sus instancias. Amazon Inspector también se puede integrar con el CSPM de Security Hub para realizar remediaciones automáticas. Considere implementar un programa regular de aplicación de parches con las Ventanas de mantenimiento de Systems Manager para minimizar la interrupción en las instancias.

La instancia EC2 tiene un End-Of-Life sistema operativo

La instancia EC2 ejecuta un sistema end-of-life operativo que el desarrollador original ya no admite ni mantiene. Esto expone la instancia a vulnerabilidades de seguridad y a posibles ataques. Cuando los sistemas operativos llegan end-of-life, los proveedores suelen dejar de publicar nuevos avisos de seguridad. Los avisos de seguridad existentes también se pueden eliminar de los ficheros de proveedores. Como resultado, Amazon Inspector podría dejar de generar hallazgos de forma conocida CVEs, lo que crearía más brechas en la cobertura de seguridad.

Consulte Sistemas operativos descatalogados en la Guía del usuario de Amazon Inspector para obtener información sobre los sistemas operativos que han llegado al final de su vida útil y que Amazon Inspector puede detectar.

Actualice a una versión de sistema operativo compatible

Se recomienda actualizar el sistema operativo a una versión compatible. En la búsqueda de exposición, abra el recurso para acceder al recurso afectado. Antes de actualizar la versión del sistema operativo de su instancia, consulte las versiones disponibles en Sistemas operativos compatibles en la Guía del usuario de Amazon Inspector para obtener una lista de las versiones de sistema operativo compatibles actualmente.

La instancia EC2 tiene paquetes de software malintencionados

Los paquetes maliciosos son componentes de software que contienen código dañino diseñado para comprometer la confidencialidad, integridad y disponibilidad de sus sistemas y datos. Los paquetes maliciosos representan una amenaza activa y crítica para su instancia, ya que los atacantes pueden ejecutar código malicioso automáticamente sin aprovechar una vulnerabilidad. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda eliminar los paquetes maliciosos para proteger la instancia de posibles ataques.

Elimine los paquetes maliciosos

Revise los detalles de los paquetes maliciosos en la sección Referencias de la pestaña Vulnerabilidad de la característica para comprender la amenaza. Elimine los paquetes maliciosos identificados con el administrador de paquetes adecuado. Consulte la herramienta de administración de paquetes en la Guía del usuario de Amazon Linux 2023 para ver un ejemplo. Tras eliminar los paquetes maliciosos, considere la posibilidad de realizar un análisis para asegurarse de que se hayan eliminado todos los paquetes que puedan haber sido instalados por el código malicioso. Para obtener más información, consulte Iniciar el análisis de software malicioso bajo demanda GuardDuty en el.

La instancia EC2 contiene archivos maliciosos

Los archivos maliciosos contienen código dañino diseñado para comprometer la confidencialidad, integridad y disponibilidad de sus sistemas y datos. Los archivos maliciosos representan una amenaza activa y crítica para su instancia, ya que los atacantes pueden ejecutar código malicioso automáticamente sin aprovechar una vulnerabilidad. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda eliminar los archivos maliciosos para proteger la instancia de posibles ataques.

Elimine los archivos maliciosos

Para identificar el volumen específico de Amazon Elastic Block Store (Amazon EBS) que contiene archivos maliciosos, consulta la sección Recursos de los detalles de búsqueda de la característica. Una vez que haya identificado el volumen con el archivo malicioso, elimine los archivos maliciosos identificados. Tras eliminar los archivos maliciosos, considere la posibilidad de realizar un análisis para asegurarse de que se hayan eliminado todos los archivos que puedan haber sido instalados por el archivo malintencionado. Para obtener más información, consulte Iniciar el análisis de software malicioso bajo demanda GuardDuty en el.