Características de mala configuración de las instancias EC2 EC2 Características de accesibilidad de las instancias Características de vulnerabilidad de EC2 las instancias

Corregir las exposiciones por ejemplo EC2

AWS Security Hub puede generar resultados de exposición para las instancias de Amazon Elastic Compute Cloud (EC2).

En la consola de Security Hub, la EC2 instancia implicada en un hallazgo de exposición y su información de identificación aparecen en la sección Recursos de los detalles del hallazgo. De forma programática, puede recuperar los detalles de los recursos con el GetFindingsV2funcionamiento de la API Security Hub.

Tras identificar el recurso implicado en la detección de una exposición, puede eliminarlo si no lo necesita. Eliminar un recurso no esencial puede reducir su perfil de exposición y sus AWS costes. Si el recurso es esencial, siga estos pasos de remediación recomendados para ayudar a mitigar el riesgo. Los temas de remediación se dividen según el tipo de característica.

Un único hallazgo de exposición contiene los problemas identificados en varios temas de remediación. Por el contrario, puede abordar un hallazgo de exposición y reducir su nivel de gravedad abordando solo un tema de remediación. Su enfoque de la remediación de riesgos depende de los requisitos y las cargas de trabajo de su organización.

nota

La guía de remediación que se proporciona en este tema puede requerir consultas adicionales en otros recursos. AWS

Contenido

Características de mala configuración de las instancias EC2

Estas son las características de los errores de configuración de las EC2 instancias y las medidas de corrección sugeridas.

La EC2 instancia permite el acceso al IMDS mediante la versión 1

Los metadatos de la instancia son datos sobre tu EC2 instancia de Amazon que las aplicaciones pueden usar para configurar o administrar la instancia en ejecución. El servicio de metadatos de instancia (IMDS) es un componente de la instancia que utiliza el código de instancia para acceder de forma segura a los metadatos de la instancia. Si el IMDS no está protegido adecuadamente, puede convertirse en un posible vector de ataque, ya que proporciona acceso a credenciales temporales y otros datos de configuración confidenciales. IMDSv2 proporciona una mayor protección contra la explotación mediante la autenticación orientada a la sesión, que requiere un token de sesión para las solicitudes de metadatos y limita la duración de la sesión. Siguiendo los principios de seguridad estándar, se AWS recomienda configurar las EC2 instancias de Amazon para usarlas IMDSv2 y deshabilitarlas IMDSv1.

Pruebe la compatibilidad de las aplicaciones

Antes de IMDSv2 implementarla, prueba la instancia para asegurarte de su compatibilidad con IMDSv2. Es posible que algunas aplicaciones o scripts requieran una IMDSv1 funcionalidad básica y una configuración adicional. Para obtener más información sobre las herramientas y las rutas recomendadas para probar la compatibilidad de las aplicaciones, consulte la versión 2 de Instance Metadata Service en la Guía del usuario de Amazon Elastic Compute Cloud.

Actualice la instancia para usarla IMDSv2

Modifique las instancias existentes para usarlas IMDSv2. Para obtener más información, consulte Modificar las opciones de metadatos de las instancias para las instancias existentes en la Guía del usuario de Amazon Elastic Compute Cloud.

Aplicar actualizaciones a las instancias de un grupo de Auto Scaling

Si su instancia forma parte de un grupo de Auto Scaling, actualice la plantilla de lanzamiento o la configuración de lanzamiento con una nueva configuración y realice una actualización de la instancia.

El rol de IAM asociado a la EC2 instancia de Amazon tiene una política de acceso administrativo

Las políticas de acceso administrativo proporcionan a EC2 las instancias de Amazon amplios permisos Servicios de AWS y recursos. Estas políticas suelen incluir permisos que no son necesarios para la funcionalidad de las instancias. Proporcionar una identidad de IAM con una política de acceso administrativo en una EC2 instancia de Amazon (en lugar del conjunto mínimo de permisos que necesita la función asociada al perfil de la instancia) puede aumentar el alcance de un ataque si la EC2 instancia de Amazon se ve comprometida. Si una instancia se ve comprometida, los atacantes podrían utilizar estos permisos excesivos para moverse lateralmente por el entorno, acceder a los datos o manipular los recursos. Siguiendo los principios de seguridad estándar, le recomendamos que conceda los privilegios mínimos, es decir, que solo conceda los permisos necesarios para realizar una tarea.

Revise e identifique las políticas administrativas

En el panel de control de IAM, busque el rol con su nombre. Revise la política de permisos asociada a la función de IAM. Si la política es una política AWS gestionada, busque AdministratorAccess oIAMFullAccess. De lo contrario, en el documento de política, busque las declaraciones con "Effect": "Allow", "Action": "*" y"Resource": "*".

Implementación del acceso a los privilegios mínimos

Sustituya las políticas administrativas por políticas que concedan únicamente los permisos específicos necesarios para que la instancia funcione. Para obtener más información sobre las prácticas recomendadas de seguridad para las funciones de IAM, consulte Aplicar permisos con privilegios mínimos en la sección Prácticas recomendadas de seguridad de la Guía del usuario.AWS Identity and Access Management Para identificar los permisos innecesarios, puede utilizar el analizador de acceso de IAM para saber cómo modificar su política en función del historial de acceso. Para obtener más información, consulte las conclusiones sobre el acceso externo y no utilizado en la Guía del AWS Identity and Access Management usuario. Como alternativa, puede crear una nueva función de IAM para evitar que otras aplicaciones que utilicen la función existente se vean afectadas. En este escenario, cree una nueva función de IAM y, a continuación, asocie la nueva función de IAM a la instancia. Para obtener instrucciones sobre cómo reemplazar un rol de IAM por una instancia, consulta Adjuntar un rol de IAM a una instancia en la Guía del usuario de Amazon Elastic Compute Cloud.

Consideraciones sobre la configuración segura

Si se necesitan permisos administrativos de nivel de servicio para la instancia, considere la posibilidad de implementar estos controles de seguridad adicionales para mitigar el riesgo:

Consideraciones sobre la configuración segura
- Autenticación multifactor (MFA): la MFA agrega una capa de seguridad adicional al requerir una forma de autenticación adicional. Esto ayuda a evitar el acceso no autorizado incluso si las credenciales están comprometidas. Para obtener más información, consulte Requerir la autenticación multifactor (MFA) en AWS Identity and Access Management la Guía del usuario.
- Condiciones de IAM: la configuración de los elementos de condición le permite restringir cuándo y cómo se pueden usar los permisos administrativos en función de factores como la IP de origen o la antigüedad del MFA. Para obtener más información, consulte las condiciones de uso en las políticas de IAM para restringir aún más el acceso en la Guía del AWS Identity and Access Management usuario.
- Límites de permisos: los límites de los permisos establecen el número máximo de permisos que puede tener un rol y proporcionan barreras a los roles con acceso administrativo. Para obtener más información, consulte Usar los límites de permisos para delegar la administración de permisos dentro de una cuenta en la Guía del AWS Identity and Access Management usuario.

Aplicar actualizaciones a las instancias de un grupo de escalado automático

Para EC2 las instancias de Amazon de un grupo de AWS autoescalado, actualiza la plantilla de lanzamiento o la configuración de lanzamiento con el nuevo perfil de instancia y realiza una actualización de la instancia. Para obtener información sobre la actualización de una plantilla de lanzamiento, consulte Modificar una plantilla de lanzamiento (gestionar las versiones de la plantilla de lanzamiento) en la Guía del usuario de Amazon Elastic Compute Cloud. Para obtener más información, consulte Usar una actualización de instancias para actualizar las instancias de un grupo de Auto Scaling. Para obtener más información sobre el uso de funciones de IAM con grupos de Auto Scaling, consulte Función de IAM para aplicaciones que se ejecutan en EC2 instancias de Amazon en la Guía del usuario de Amazon EC2 Auto Scaling.

El rol de IAM asociado a la EC2 instancia de Amazon tiene una política de administración de servicios

Las políticas de acceso a los servicios proporcionan a las EC2 instancias de Amazon amplios permisos para acceder a los AWS servicios y recursos. Estas políticas suelen incluir permisos que no son necesarios, por ejemplo, la funcionalidad. Proporcionar una identidad de IAM con una política de acceso administrativo en una EC2 instancia de Amazon en lugar del conjunto mínimo de permisos que necesita la función asociada al perfil de la instancia puede aumentar el alcance de un ataque si una instancia se ve comprometida. Siguiendo los principios de seguridad estándar, le recomendamos que conceda el mínimo de privilegios, lo que significa que solo conceda los permisos necesarios para realizar una tarea.

Revise e identifique las políticas administrativas

Implementación del acceso a los privilegios mínimos

Sustituya las políticas de administración del servicio por aquellas que concedan solo los permisos específicos necesarios para que la instancia funcione. Para obtener más información sobre las prácticas recomendadas de seguridad para las funciones de IAM, consulte Aplicar permisos con privilegios mínimos en la sección Prácticas recomendadas de seguridad de la Guía del usuario.AWS Identity and Access Management Para identificar los permisos innecesarios, puede utilizar el analizador de acceso de IAM para saber cómo modificar su política en función del historial de acceso. Para obtener más información, consulte las conclusiones sobre el acceso externo y no utilizado en la Guía del AWS Identity and Access Management usuario. Como alternativa, puede crear una nueva función de IAM para evitar que afecte a otras aplicaciones que utilizan la función existente. En este escenario, cree una nueva función de IAM y, a continuación, asocie la nueva función de IAM a la instancia. Para obtener información sobre cómo reemplazar un rol de IAM por una instancia, consulta Adjuntar un rol de IAM a una instancia en la Guía del usuario de Amazon Elastic Compute Cloud

Consideraciones sobre la configuración segura

Si se necesitan permisos administrativos de nivel de servicio para la instancia, considere la posibilidad de implementar estos controles de seguridad adicionales para mitigar el riesgo:

Consideraciones sobre la configuración segura

Si se necesitan permisos administrativos de nivel de servicio para la instancia, considere la posibilidad de implementar estos controles de seguridad adicionales para mitigar el riesgo:

Autenticación multifactor (MFA): la MFA agrega una capa de seguridad adicional al requerir una forma de autenticación adicional. Esto ayuda a evitar el acceso no autorizado incluso si las credenciales están comprometidas. Para obtener más información, consulte Requerir la autenticación multifactor (MFA) en AWS Identity and Access Management la Guía del usuario.
Condiciones de IAM: la configuración de los elementos de condición le permite restringir cuándo y cómo se pueden usar los permisos administrativos en función de factores como la IP de origen o la antigüedad del MFA. Para obtener más información, consulte las condiciones de uso en las políticas de IAM para restringir aún más el acceso en la Guía del AWS Identity and Access Management usuario.
Límites de permisos: los límites de los permisos establecen el número máximo de permisos que puede tener un rol y proporcionan barreras a los roles con acceso administrativo. Para obtener más información, consulte Usar los límites de permisos para delegar la administración de permisos dentro de una cuenta en la Guía del AWS Identity and Access Management usuario.

Aplicar actualizaciones a las instancias del grupo Auto Scaling

La EC2 instancia de Amazon tiene un grupo de seguridad o ACL de red que permite el acceso SSH o RDP.

Los protocolos de acceso remoto, como SSH y RDP, permiten a los usuarios conectarse a las EC2 instancias de Amazon y administrarlas desde ubicaciones externas. Cuando los grupos de seguridad permiten el acceso sin restricciones a estos protocolos desde Internet, aumentan la superficie de ataque de sus EC2 instancias de Amazon al permitir el acceso de Internet a su instancia. Siguiendo los principios de seguridad estándar, se AWS recomienda limitar el acceso remoto a direcciones IP o rangos específicos y confiables.

Modifique las reglas de los grupos de seguridad

Restringe el acceso a tus EC2 instancias de Amazon a direcciones IP de confianza específicas. Limite el acceso SSH y RDP a direcciones IP de confianza específicas o utilice la notación CIDR para especificar los rangos de IP (por ejemplo, 198.168.1.0/24). Para modificar las reglas de los grupos de seguridad, consulte Configurar las reglas de los grupos de seguridad en la Guía del usuario de Amazon Elastic Compute Cloud.

La EC2 instancia de Amazon tiene un grupo de seguridad abierto

Los grupos de seguridad actúan como firewalls virtuales para que sus EC2 instancias de Amazon controlen el tráfico entrante y saliente. Los grupos de seguridad abiertos, que permiten el acceso sin restricciones desde cualquier dirección IP, pueden exponer sus instancias a un acceso no autorizado. Siguiendo los principios de seguridad estándar, AWS recomienda restringir el acceso de los grupos de seguridad a direcciones IP y puertos específicos.

Revise las reglas de los grupos de seguridad y evalúe la configuración actual

Evalúe qué puertos están abiertos y accesibles desde amplios rangos de IP, por ejemplo(0.0.0.0/0 or ::/0). Para obtener instrucciones sobre cómo ver los detalles de los grupos de seguridad, consulte DescribeSecurityGroupsla referencia del Asistente de portabilidad para la API.NET.

Modifique las reglas de los grupos de seguridad

Modifique las reglas del grupo de seguridad para restringir el acceso a rangos o direcciones IP de confianza específicos. Al actualizar las reglas del grupo de seguridad, considere separar los requisitos de acceso para los distintos segmentos de la red creando reglas para cada rango de IP de origen requerido o restringiendo el acceso a puertos específicos. Para modificar las reglas de los grupos de seguridad, consulte Configurar las reglas de los grupos de seguridad en la Guía del EC2 usuario de Amazon.

La EC2 instancia de Amazon tiene una dirección IP pública

EC2 Las instancias de Amazon con direcciones IP públicas son accesibles públicamente desde Internet. Si bien las direcciones IP públicas a veces son necesarias para las instancias que prestan servicios a clientes externos, pueden aprovecharlas para atacar a personas no autorizadas. Siguiendo los principios de seguridad estándar, se AWS recomienda limitar la exposición pública de los recursos siempre que sea posible.

Mueva la instancia a una subred privada

Si la instancia no requiere acceso directo a Internet, plantéate moverla a una subred privada dentro de tu VPC. Esto eliminará su dirección IP pública y, al mismo tiempo, le permitirá comunicarse con otros recursos de la VPC. Para obtener más información, consulta ¿Cómo muevo mi EC2 instancia de Amazon a otra subred, zona de disponibilidad o VPC? en el Centro de AWS conocimiento.

Configure las instancias para que se lancen sin direcciones IP públicas

Si la instancia se lanzó en una subred pública que no requiere direcciones IP públicas, la configuración de lanzamiento se puede modificar para evitar la asignación automática de direcciones IP públicas. Esto se puede deshabilitar a nivel de subred o al lanzar instancias individuales. Para obtener más información, consulte Modificar los atributos de dirección IP de su subred en la Guía del usuario de Amazon Virtual Private Cloud y EC2instance Dirección IP de Amazon en la Guía del usuario de Amazon Elastic Compute Cloud.

Métodos de acceso alternativos

Tenga en cuenta las siguientes opciones para los métodos de acceso alternativos:

Utilice una puerta de enlace NAT para la conectividad saliente a Internet:

En el caso de subredes privadas que requieran acceso a Internet (por ejemplo, para descargar actualizaciones), considere la posibilidad de utilizar una puerta de enlace NAT en lugar de asignar una dirección IP pública. Una puerta de enlace NAT permite que las instancias de las subredes privadas inicien conexiones salientes a Internet y, al mismo tiempo, impide las conexiones entrantes desde Internet. Para obtener más información, consulte las puertas de enlace NAT en la Guía del usuario de Amazon Virtual Private Cloud.
Utilice Elastic Load Balancing: para las instancias que ejecutan aplicaciones web, considere la posibilidad de utilizar un Elastic Load Balancer (LB). LBs se puede configurar para permitir que las instancias se ejecuten en subredes privadas, mientras que el LB se ejecuta en una subred pública y gestiona el tráfico de Internet. Para obtener más información, consulte ¿Qué es Elastic Load Balancing? en la Guía del usuario del AWS ELB. Consulte las subredes del balanceador de carga en la Guía AWS prescriptiva para obtener información sobre cómo elegir una estrategia de adherencia para su LB.

EC2 Características de accesibilidad de las instancias

Estas son las características de accesibilidad de las EC2 instancias y las medidas de corrección sugeridas.

Se puede acceder a la EC2 instancia a través de Internet

Las EC2 instancias de Amazon con puertos a los que se puede acceder desde Internet a través de una puerta de enlace de Internet (incluidas las instancias detrás de los balanceadores de carga de aplicaciones o los balanceadores de carga clásicos), una conexión de emparejamiento de VPC o una puerta de enlace virtual de VPN pueden exponer la instancia a Internet. Siguiendo los principios de seguridad estándar, recomendamos implementar controles de acceso a la red con privilegios mínimos restringiendo el tráfico entrante solo a las fuentes y puertos necesarios.

Modifique o elimine las reglas de los grupos de seguridad

En la pestaña Recursos, abra el recurso para Amazon EC2 Security Group. Compruebe si se requiere acceso a Internet para que la instancia funcione. Modifique o elimine las reglas de los grupos de seguridad entrantes que permiten el acceso sin restricciones (0.0.0.0/0o::/0). Implemente reglas más restrictivas basadas en rangos de IP o grupos de seguridad específicos. Si es necesario un acceso público limitado, restrinja el acceso a los puertos y protocolos específicos necesarios para el funcionamiento de la instancia. Para obtener instrucciones sobre la administración de las reglas de los grupos de seguridad, consulte Configurar las reglas de los grupos de seguridad en la Guía del EC2 usuario de Amazon.

Actualice la red ACLs

Revisa y modifica las listas de control de acceso a la red (ACLs) asociadas a la subred de la instancia. Compruebe que la configuración de la ACL se ajuste a los cambios del grupo de seguridad y no permita el acceso público de forma involuntaria. Para obtener instrucciones sobre cómo modificar la red ACLs, consulte Trabajar con la red ACLs en la Guía del usuario de Amazon VPC.

Métodos de acceso alternativos

Tenga en cuenta las siguientes opciones para los métodos de acceso alternativos:

Utilice la puerta de enlace NAT para la conectividad saliente a Internet: en los casos de subredes privadas que requieren acceso a Internet (por ejemplo, para descargar actualizaciones), considere la posibilidad de utilizar una puerta de enlace NAT en lugar de asignar una dirección IP pública. Una puerta de enlace NAT permite que las instancias de subredes privadas inicien conexiones salientes a Internet y, al mismo tiempo, impide las conexiones entrantes desde Internet. s
Utilice el administrador de sesiones de Systems Manager: el administrador de sesiones proporciona un acceso seguro desde el shell a sus EC2 instancias de Amazon sin necesidad de puertos de entrada, administrar claves SSH ni mantener hosts bastiones.
Utilice WAF y Elastic Load Balancing o Application Load Balancer: en el caso de las instancias que ejecutan aplicaciones web, considere la posibilidad de utilizar un LB combinado AWS con Web Application Firewall (WAF). LBs se puede configurar para permitir que las instancias se ejecuten en subredes privadas mientras que el LB se ejecuta en una subred pública y gestiona el tráfico de Internet. Añadir un WAF a tu balanceador de cargas proporciona protección adicional contra los exploits web y los bots.

Se puede acceder a la EC2 instancia de Amazon desde la VPC de Amazon

Amazon Virtual Private Cloud (Amazon VPC) le permite lanzar AWS recursos en una red virtual definida. Las configuraciones de red de Amazon VPC que permiten el acceso sin restricciones entre instancias pueden aumentar el alcance de un ataque si una instancia se ve comprometida. Siguiendo las mejores prácticas de seguridad, AWS recomienda implementar la segmentación de la red y los controles de acceso con privilegios mínimos a nivel de subred y grupo de seguridad.

Revise los patrones de conectividad de red de Amazon VPC

En el hallazgo de exposición, identifique el ID del grupo de seguridad en el ARN. Identifique qué instancias deben comunicarse entre sí y en qué puertos. Puede usar Amazon VPC Flow Logs para analizar los patrones de tráfico existentes en su Amazon VPC y así identificar qué puertos se están utilizando.

Modifique las reglas de los grupos de seguridad

Modifique las reglas del grupo de seguridad para restringir el acceso a rangos o direcciones IP de confianza específicos. Por ejemplo, en lugar de permitir todo el tráfico de todo el rango CIDR de la VPC (por ejemplo, 10.0.0.0/16), restrinja el acceso a grupos de seguridad o rangos de IP específicos. Al actualizar las reglas de los grupos de seguridad, considere la posibilidad de separar los requisitos de acceso para los diferentes segmentos de la red mediante la creación de reglas para cada rango de IP de origen requerido o la restricción del acceso a puertos específicos. Para modificar las reglas de los grupos de seguridad, consulte Configurar las reglas de los grupos de seguridad en la Guía del EC2 usuario de Amazon.

Considere la posibilidad de organizar los recursos de Amazon VPC en subredes en función de las funciones o los requisitos de seguridad. Por ejemplo, coloque los servidores web y los servidores de bases de datos en subredes independientes. Para obtener más información, consulte Subredes para su VPC en la Guía del usuario de Amazon Virtual Private Cloud.

Configure la red ACLs para la protección a nivel de subred

Las listas de control de acceso a la red (NACLs) proporcionan un nivel de seguridad adicional a nivel de subred. A diferencia de los grupos de seguridad, no NACLs tienen estado y requieren que las reglas de entrada y salida estén definidas de forma explícita. Para obtener más información, consulte Control del tráfico de subred con listas de control de acceso a la red en la Guía del usuario de Amazon Virtual Private Cloud.

Consideraciones adicionales

Tenga en cuenta lo siguiente a la hora de restringir el acceso a su Amazon VPC

Emparejamiento de Amazon VPC o Transit Gateway con enrutamiento restrictivo: si su arquitectura utiliza varios dispositivos VPCs que necesitan comunicarse, considere la posibilidad de utilizar AWS Transit Gateway y Amazon VPC peering para proporcionar conectividad entre Amazon y, al VPCs mismo tiempo, controlar qué subredes se pueden comunicar entre sí. Para obtener más información, consulte Cómo empezar a usar Amazon VPC Transit Gateways y las conexiones de peering de VPC.
Puntos de enlace de servicio y enlaces privados: los puntos de enlace de Amazon VPC se pueden utilizar para mantener el tráfico dentro de AWS la red y comunicarse AWS con los recursos en lugar de hacerlo a través de Internet. Esto reduce la necesidad de conectividad directa entre las instancias que acceden a los mismos servicios. Para obtener información sobre los puntos de enlace de VPC, consulte ¿Qué son los puntos de enlace de Amazon VPC? en la Guía del usuario de Amazon Virtual Private Cloud. Para la conectividad con los servicios alojados en otros Amazon VPCs, considere utilizar AWS PrivateLink.

Características de vulnerabilidad de EC2 las instancias

Estos son los rasgos de vulnerabilidad de las EC2 instancias y las medidas de corrección sugeridas.

EC2 la instancia tiene vulnerabilidades de software que pueden explotarse en la red con una alta probabilidad de explotación

Los paquetes de software que se instalan en EC2 las instancias pueden estar expuestos a vulnerabilidades y exposiciones comunes (). CVEs Las críticas CVEs representan riesgos de seguridad importantes para su AWS entorno. Los responsables no autorizados pueden aprovechar estas vulnerabilidades no corregidas para comprometer la confidencialidad, la integridad o la disponibilidad de los datos, o para acceder a otros sistemas. Las vulnerabilidades críticas con una alta probabilidad de explotación representan amenazas inmediatas para la seguridad, ya que es posible que los atacantes o las herramientas de escaneo automatizadas ya estén disponibles públicamente y que los atacantes o las herramientas de escaneo automatizadas lo utilicen activamente. Recomendamos parchear estas vulnerabilidades para proteger la instancia.

Actualice las instancias afectadas

Consulta la sección Referencias de la pestaña Vulnerabilidad de la característica. La documentación del proveedor puede incluir una guía de remediación específica. Siga las medidas correctivas adecuadas siguiendo estas pautas generales:

Utilice el Administrador de parches de Systems Manager para aplicar parches tanto a los sistemas operativos como a las aplicaciones. Patch Manager le ayuda a seleccionar e implementar automáticamente los parches del sistema operativo y del software en grandes grupos de instancias. Si no tiene configurado el Administrador de parches, actualice manualmente el sistema operativo en cada instancia afectada.

Actualice las aplicaciones afectadas a sus últimas versiones seguras siguiendo los procedimientos recomendados por el proveedor. Para gestionar las actualizaciones de las aplicaciones en varias instancias, considere la posibilidad de utilizar Systems Manager State Manager para mantener el software en un estado uniforme. Si no hay actualizaciones disponibles, considere la posibilidad de eliminar o deshabilitar la aplicación vulnerable hasta que se publique un parche u otras medidas de mitigación, como restringir el acceso de red a la aplicación o deshabilitar las funciones vulnerables.

Siga los consejos de remediación específicos que se proporcionan en el hallazgo de Amazon Inspector. Esto podría implicar cambiar las reglas de los grupos de seguridad, modificar las configuraciones de las instancias o ajustar la configuración de la aplicación.

Compruebe si la instancia forma parte de Auto Scaling Group. Los parches de reemplazo de la AMI se realizan en infraestructuras inmutables mediante la actualización del ID de AMI que está configurado para implementar nuevas instancias de Amazon en EC2 un grupo de Auto Scaling. Si utiliza una custom/golden AMI, cree una instancia con la nueva AMI y, a continuación, personalice la instancia y cree una nueva AMI dorada. Para obtener más información, consulte la AMI actualiza la aplicación de parches (uso de parches AMIs para grupos de Auto Scaling).

Consideraciones futuras

Para evitar que ocurran en el futuro, considere la posibilidad de implementar un programa de administración de vulnerabilidades. Amazon Inspector se puede configurar para CVEs que escanee automáticamente sus instancias. Amazon Inspector también se puede integrar con Security Hub para realizar correcciones automáticas. Considere la posibilidad de implementar un programa de parches regular mediante Windows de mantenimiento de Systems Manager para minimizar las interrupciones en sus instancias.

La EC2 instancia de Amazon tiene vulnerabilidades de software

Los paquetes de software que están instalados en Amazon EC2instances pueden estar expuestos a vulnerabilidades y exposiciones comunes (CVEs). Los no críticos CVEs representan debilidades de seguridad con menor gravedad o capacidad de explotación en comparación con los críticos. CVEs Si bien estas vulnerabilidades representan un riesgo menos inmediato, los atacantes aún pueden aprovechar estas vulnerabilidades sin parches para comprometer la confidencialidad, la integridad o la disponibilidad de los datos, o para acceder a otros sistemas. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda parchar estas vulnerabilidades para proteger la instancia de los ataques.

Actualiza las instancias afectadas

Utilice el Administrador de parches de AWS Systems Manager para aplicar parches a los sistemas operativos. Patch Manager le ayuda a seleccionar e implementar automáticamente los parches del sistema operativo y del software en grandes grupos de instancias. Si no tiene configurado el Administrador de parches, actualice manualmente el sistema operativo en cada instancia afectada.

Actualice las aplicaciones afectadas a sus últimas versiones seguras siguiendo los procedimientos recomendados por el proveedor. Para gestionar las actualizaciones de las aplicaciones en varias instancias, considere la posibilidad de utilizar AWS Systems Manager State Manager para mantener el software en un estado uniforme. Si no hay actualizaciones disponibles, considere la posibilidad de eliminar o deshabilitar la aplicación vulnerable hasta que se publique un parche u otras medidas de mitigación, como restringir el acceso de red a la aplicación o deshabilitar las funciones vulnerables.

Consideraciones futuras

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Corregir las exposiciones de las tablas de DynamoDB

Corregir las exposiciones de los servicios de Amazon ECS