AWS Lambdacontroles - AWS Security Hub
[Lambda.1] Las políticas de funciones lambda deberían prohibir el acceso público[Lambda.2] Las funciones de Lambda deben utilizar tiempos de ejecución compatibles[Lambda.3] Las funciones de Lambda deben estar en una VPC[Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Lambdacontroles

Estos controles están relacionados con los recursos de Lambda.

Es posible que estos controles no estén disponibles en todosRegiones de AWS. Para obtener más información, consulte Disponibilidad de controles por región.

[Lambda.1] Las políticas de funciones lambda deberían prohibir el acceso público

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIS.800-53.R5 SC-7 (16), NIS.800-53.R5 SC-7 (20) 12), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Categoría: Proteger - Configuración de red segura

Gravedad: crítica

Tipo de recurso: AWS::Lambda::Function

Regla de AWS Config: lambda-function-public-access-prohibited

Tipo de programa: cambio activado

Parámetros: ninguno

Este control comprueba si la política basada en recursos de la función Lambda prohíbe el acceso público fuera de su cuenta. El control falla si se permite el acceso público. El control también falla si se invoca una función de Lambda desde Amazon S3 y la política no incluye una condición para limitar el acceso público, por ejemplo. AWS:SourceAccount Recomendamos utilizar otras condiciones de S3 junto con las AWS:SourceAccount de tu política de bucket para un acceso más refinado.

La función Lambda no debe ser de acceso público, ya que esto puede permitir un acceso no deseado al código de la función.

Corrección

Para solucionar este problema, debes actualizar la política basada en recursos de la función para eliminar los permisos o añadir la condición. AWS:SourceAccount Solo puede actualizar la política basada en recursos desde la API de Lambda o. AWS CLI

Para empezar, revise la política basada en recursos en la consola de Lambda. Identifique la declaración de política que contiene valores de Principal campo que hacen pública la política, como "*" o{ "AWS": "*" }.

No puede editar la política desde la consola. Para eliminar los permisos de la función, ejecute el remove-permissioncomando desdeAWS CLI.

$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>

<function-name>Sustitúyalo por el nombre de la función Lambda y <statement-id> por la sentencia ID (Sid) de la sentencia que desee eliminar.

[Lambda.2] Las funciones de Lambda deben utilizar tiempos de ejecución compatibles

Requisitos relacionados: NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)

Categoría: Proteger - Desarrollo seguro

Gravedad: media

Tipo de recurso: AWS::Lambda::Function

Regla de AWS Config: lambda-function-settings-check

Tipo de programa: cambio activado

Parámetros:

  • runtime: dotnet6, go1.x, java17, java11, java8, java8.al2, nodejs18.x, nodejs16.x, nodejs14.x, python3.10, python3.9, python3.8, python3.7, ruby3.2, ruby2.7

Este control comprueba que la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos para cada idioma. El control comprueba la configuración de las funciones para los tiempos de ejecución indicados anteriormente en los parámetros. El control falla si una función de Lambda no usa un tiempo de ejecución compatible.

La AWS Config regla ignora las funciones que tienen un tipo de paquete deImage.

Los entornos de ejecución de Lambda se basan en una combinación de bibliotecas de sistemas operativos, lenguajes de programación y software que están sujetas a actualizaciones de mantenimiento y seguridad. Cuando un componente de ejecución deja de ser compatible con las actualizaciones de seguridad, Lambda deja de usar el motor de ejecución. Aunque no puede crear funciones que utilicen el tiempo de ejecución obsoleto, la función sigue estando disponible para procesar eventos de invocación. Asegúrese de que las funciones de Lambda estén actualizadas y no utilicen entornos de out-of-date ejecución.

Para obtener más información sobre los tiempos de ejecución admitidos, este control comprueba los idiomas admitidos, consulte los AWS Lambdatiempos de ejecución en la Guía para AWS Lambdadesarrolladores.

Corrección

Para obtener más información sobre los tiempos de ejecución admitidos y los programas de obsolescencia, consulte la Política de obsolescencia del tiempo de ejecución en la Guía para desarrolladores. AWS Lambda Cuando migre los tiempos de ejecución a la versión más reciente, siga la sintaxis y las instrucciones de los editores del lenguaje.

[Lambda.3] Las funciones de Lambda deben estar en una VPC

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIS.800-53.R5 NIST-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Gravedad: baja

Tipo de recurso: AWS::Lambda::Function

Regla de AWS Config: lambda-inside-vpc

Tipo de programa: cambio activado

Parámetros: ninguno

Este control comprueba si una función Lambda está en una VPC. Es posible que vea resultados fallidos en los recursos de Lambda @Edge.

No evalúa la configuración de direccionamiento de subred de VPC para determinar la accesibilidad pública.

Corrección

Para configurar una función existente para conectarse a subredes privadas de la VPC, consulte Configurar el acceso a la VPC en la AWS Lambda Guía para desarrolladores. Recomendamos elegir al menos dos subredes privadas para una alta disponibilidad y al menos un grupo de seguridad que cumpla con los requisitos de conectividad de la función.

[Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

Requisitos relacionados: NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::Lambda::Function

Regla de AWS Config: lambda-vpc-multi-az-check

Tipo de programa: cambio activado

Parámetros: ninguno

Este control comprueba si una función Lambda que se conecta a una nube privada virtual (VPC) está asociada a más de una zona de disponibilidad (AZ). El control falla si solo hay una AZ asociada a la función.

La implementación de recursos en varias AZ es una práctica AWS recomendada para garantizar una alta disponibilidad en su arquitectura. La disponibilidad es un pilar fundamental del modelo de seguridad de la tríada de confidencialidad, integridad y disponibilidad. Todas las funciones de Lambda que se conectan a una VPC deben tener una implementación en Multi-AZ para garantizar que una sola zona de error no cause una interrupción total de las operaciones.

Corrección

Si configura la función para conectarse a una VPC de su cuenta, especifique subredes en varias AZ para garantizar una alta disponibilidad. Para obtener instrucciones, consulte Configurar el acceso a la VPC en la Guía para AWS Lambda desarrolladores.

Lambda ejecuta automáticamente otras funciones en varias AZ para garantizar que esté disponible para procesar eventos en caso de interrupción del servicio en una sola zona.