AWS Lambda controles - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Lambda controles

Estos controles están relacionados con los recursos de Lambda.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Categoría: Proteger - Configuración de red segura

Gravedad: crítica

Tipo de recurso: AWS::Lambda::Function

Regla de AWS Config : lambda-function-public-access-prohibited

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si la política basada en recursos de la función de Lambda prohíbe el acceso público a la cuenta. El control falla si se permite el acceso público. El control también falla si se invoca una función de Lambda desde Amazon S3 y la política no incluye una condición para limitar el acceso público, como por ejemplo AWS:SourceAccount. Le recomendamos que utilice otras condiciones de S3 junto con AWS:SourceAccount en su política de bucket para obtener un acceso más preciso.

La función de Lambda no debe ser accesible públicamente, ya que puede permitir el acceso involuntario al código que tenga almacenado en la característica.

Corrección

Para solucionar este problema, debe actualizar la política basada en los recursos de su característica para eliminar los permisos o añadir la condición de AWS:SourceAccount. Solo puede actualizar la política basada en recursos desde la API Lambda o. AWS CLI

Para empezar, revise la política basada en recursos de la consola Lambda. Identifique la declaración de política que tiene valores de campo Principal que hacen que la política sea pública, como "*" o { "AWS": "*" }.

No puede editar la política desde la consola. Para eliminar los permisos de la característica, ejecute el comando remove-permission desde AWS CLI.

$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>

Sustituya <function-name> por el nombre de la función de Lambda y <statement-id> con el identificador de la sentencia (Sid) que desee eliminar.

[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5)

Categoría: Proteger - Desarrollo seguro

Gravedad: media

Tipo de recurso: AWS::Lambda::Function

Regla de AWS Config : lambda-function-settings-check

Tipo de horario: provocado por un cambio

Parámetros:

  • runtime: dotnet8, dotnet6, java21, java17, java11, java8.al2, nodejs20.x, nodejs18.x, nodejs16.x, python3.12, python3.11, python3.10, python3.9, python3.8, ruby3.3, ruby3.2 (no personalizable)

Este control comprueba si la configuración de la función Lambda para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos para cada idioma. El control falla si una función de Lambda no utiliza un tiempo de ejecución compatible.

El control comprueba la configuración de las funciones para los tiempos de ejecución indicados anteriormente en los parámetros. Security Hub ignora las funciones que tienen un tipo de paquete deImage.

Los Tiempos de ejecución de Lambda se crean a partir de una combinación de sistema operativo, lenguaje de programación y bibliotecas de software, todos ellos sujetos a operaciones de mantenimiento y actualizaciones de seguridad. Cuando un componente de un tiempo de ejecución deja de recibir actualizaciones de seguridad, Lambda descarta el tiempo de ejecución. Aunque no se pueden crear funciones que utilicen el tiempo de ejecución obsoleto, la función sigue estando disponible para procesar los eventos de invocación. Le recomendamos que se asegure de que sus funciones Lambda estén actualizadas y no utilicen entornos de ejecución obsoletos. Para obtener una lista de los tiempos de ejecución compatibles, consulte los tiempos de ejecución Lambda en AWS Lambda la Guía para desarrolladores.

Corrección

Para obtener más información sobre los tiempos de ejecución compatibles y los programas de obsolescencia, consulte la Política de obsolescencia del tiempo de ejecución en la Guía para desarrolladores de AWS Lambda . Cuando migre los tiempos de ejecución a la versión más reciente, siga la sintaxis y las instrucciones de los editores del lenguaje. También recomendamos aplicar actualizaciones en tiempo de ejecución para reducir el riesgo de que sus cargas de trabajo se vean afectadas en el raro caso de que se produzca una incompatibilidad entre las versiones en tiempo de ejecución.

[Lambda.3] Las funciones de Lambda deben estar en una VPC

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Gravedad: baja

Tipo de recurso: AWS::Lambda::Function

AWS Config regla: lambda-inside-vpc

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una función Lambda está desplegada en una nube privada virtual (VPC). El control falla si la función Lambda no está implementada en una VPC. Security Hub no evalúa la configuración de enrutamiento de subred de la VPC para determinar la accesibilidad pública. Es posible que vea resultados erróneos en los recursos de Lambda @Edge.

La implementación de recursos en una VPC refuerza la seguridad y el control de las configuraciones de red. Estas implementaciones también ofrecen escalabilidad y una alta tolerancia a los errores en varias zonas de disponibilidad. Puede personalizar las implementaciones de VPC para cumplir con los diversos requisitos de las aplicaciones.

Corrección

Para configurar una característica existente para conectarse a subredes privadas de su VPC, consulte Configuración del acceso a la VPC en la Guía para desarrolladores de AWS Lambda . Recomendamos elegir al menos dos subredes privadas para una alta disponibilidad y al menos un grupo de seguridad que cumpla con los requisitos de conectividad de la característica.

[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::Lambda::Function

Regla de AWS Config : lambda-vpc-multi-az-check

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

availabilityZones

Cantidad mínima de zonas de disponibilidad

Enum

2, 3, 4, 5, 6

2

Este control comprueba si una AWS Lambda función que se conecta a una nube privada virtual (VPC) funciona al menos en el número especificado de zonas de disponibilidad (AZ). Se produce un error en el control si la función no funciona en al menos la cantidad especificada de AZ. A menos que se proporcione un valor personalizado de parámetro para la cantidad mínima de AZ, Security Hub utiliza un valor predeterminado de dos AZ.

La implementación de recursos en varias zonas de disponibilidad es una práctica AWS recomendada para garantizar una alta disponibilidad en su arquitectura. La disponibilidad es un pilar fundamental del modelo de seguridad de la tríada de confidencialidad, integridad y disponibilidad. Todas las funciones de Lambda que se conectan a una VPC deben tener una implementación multi-AZ para garantizar que una sola zona de error no provoque una interrupción total de las operaciones.

Corrección

Si configura la característica para conectarse a una nube privada virtual (VPC) en su cuenta, especifique subredes en varias zonas de disponibilidad para garantizar una alta disponibilidad. Para obtener instrucciones, consulte Configuración del acceso a la VPC en la Guía para desarrolladores de AWS Lambda .

Alta disponibilidad: Lambda ejecuta la característica en varias zonas de disponibilidad para asegurarse de que está disponible para procesar eventos en caso de una interrupción del servicio en una sola zona.