Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Lambda
Estos AWS Security Hub los controles evalúan el AWS Lambda servicio y recursos.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.
[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16) NIST.800-53.r5 AC-3, (20), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoría: Proteger - Configuración de red segura
Gravedad: crítica
Tipo de recurso: AWS::Lambda::Function
AWS Config regla: lambda-function-public-access-prohibited
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la política basada en recursos de la función de Lambda prohíbe el acceso público a la cuenta. El control falla si se permite el acceso público. El control también falla si se invoca una función de Lambda desde Amazon S3 y la política no incluye una condición para limitar el acceso público, como por ejemplo AWS:SourceAccount
. Le recomendamos que utilice otras condiciones de S3 junto con AWS:SourceAccount
en su política de bucket para obtener un acceso más preciso.
La función de Lambda no debe ser accesible públicamente, ya que puede permitir el acceso involuntario al código que tenga almacenado en la característica.
Corrección
Para solucionar este problema, debe actualizar la política basada en los recursos de su característica para eliminar los permisos o añadir la condición de AWS:SourceAccount
. Solo puede actualizar la política basada en recursos desde Lambda o API AWS CLI.
Para empezar, revise la política basada en recursos de la consola Lambda. Identifique la declaración de política que tiene valores de campo Principal
que hacen que la política sea pública, como "*"
o { "AWS": "*" }
.
No puede editar la política desde la consola. Para eliminar los permisos de la función, ejecute el remove-permission
comando desde AWS CLI.
$ aws lambda remove-permission --function-name
<function-name>
--statement-id<statement-id>
Sustituya
por el nombre de la función de Lambda y <function-name>
con el identificador de la sentencia (<statement-id>
Sid
) que desee eliminar.
[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST NIST
Categoría: Proteger - Desarrollo seguro
Gravedad: media
Tipo de recurso: AWS::Lambda::Function
AWS Config regla: lambda-function-settings-check
Tipo de horario: provocado por un cambio
Parámetros:
-
runtime
:dotnet8, dotnet6, java21, java17, java11, java8.al2, nodejs20.x, nodejs18.x, python3.12, python3.11, python3.10, python3.9, python3.8, ruby3.3, ruby3.2
(no personalizable)
Este control comprueba si AWS Lambda la configuración del tiempo de ejecución de la función coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El control falla si la función Lambda no utiliza un tiempo de ejecución compatible, tal como se indicó anteriormente en la sección Parámetros. Security Hub ignora las funciones que tienen un tipo de paquete deImage
.
Los Tiempos de ejecución de Lambda se crean a partir de una combinación de sistema operativo, lenguaje de programación y bibliotecas de software, todos ellos sujetos a operaciones de mantenimiento y actualizaciones de seguridad. Cuando un componente de un tiempo de ejecución deja de recibir actualizaciones de seguridad, Lambda descarta el tiempo de ejecución. Aunque no puede crear funciones que utilicen el tiempo de ejecución obsoleto, la función sigue estando disponible para procesar los eventos de invocación. Le recomendamos que se asegure de que las funciones de Lambda estén actualizadas y no utilicen entornos de ejecución obsoletos. Para obtener una lista de los tiempos de ejecución compatibles, consulte los tiempos de ejecución Lambda en AWS Lambda Guía para desarrolladores.
Corrección
Para obtener más información sobre los tiempos de ejecución y los programas de obsolescencia compatibles, consulte la Política de obsolescencia del tiempo de ejecución en la AWS Lambda Guía para desarrolladores. Cuando migre los tiempos de ejecución a la versión más reciente, siga la sintaxis y las instrucciones de los editores del lenguaje. También recomendamos aplicar actualizaciones en tiempo de ejecución para reducir el riesgo de que sus cargas de trabajo se vean afectadas en el raro caso de que se produzca una incompatibilidad entre las versiones en tiempo de ejecución.
[Lambda.3] Las funciones lambda deben estar en un VPC
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16) NIST.800-53.r5 AC-3, (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (3) NIST.800-53.r5 AC-6, (4) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoría: Proteger - Configuración de red segura
Gravedad: baja
Tipo de recurso: AWS::Lambda::Function
AWS Config regla: lambda-inside-vpc
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una función Lambda está desplegada en una nube privada virtual ()VPC. El control falla si la función Lambda no está desplegada en un. VPC Security Hub no evalúa la configuración de enrutamiento de VPC subred para determinar la accesibilidad pública. Es posible que vea resultados erróneos en los recursos de Lambda @Edge.
La implementación de recursos VPC refuerza la seguridad y el control de las configuraciones de red. Estas implementaciones también ofrecen escalabilidad y una alta tolerancia a los errores en varias zonas de disponibilidad. Puede personalizar las VPC implementaciones para cumplir con los diversos requisitos de las aplicaciones.
Corrección
Para configurar una función existente para conectarse a las subredes privadas de su paísVPC, consulte Configuración del VPC acceso en AWS Lambda Guía para desarrolladores. Recomendamos elegir al menos dos subredes privadas para una alta disponibilidad y al menos un grupo de seguridad que cumpla con los requisitos de conectividad de la característica.
[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5) NIST
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::Lambda::Function
AWS Config regla: lambda-vpc-multi-az-check
Tipo de horario: provocado por un cambio
Parámetros:
Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
---|---|---|---|---|
|
Cantidad mínima de zonas de disponibilidad |
Enum |
|
|
Este control comprueba si un AWS Lambda la función que se conecta a una nube privada virtual (VPC) funciona al menos en el número especificado de zonas de disponibilidad (AZs). El control falla si la función no funciona al menos en el número especificado deAZs. A menos que proporciones un valor de parámetro personalizado para el número mínimo deAZs, Security Hub usa un valor predeterminado de dosAZs.
La implementación de recursos en varios AZs es una AWS práctica recomendada para garantizar una alta disponibilidad en su arquitectura. La disponibilidad es un pilar fundamental del modelo de seguridad de la tríada de confidencialidad, integridad y disponibilidad. Todas las funciones de Lambda que se conecten a una VPC deben tener una implementación Multi-AZ para garantizar que una sola zona de fallo no cause una interrupción total de las operaciones.
Corrección
Si configura la función para que se conecte a una VPC de sus cuentas, especifique las subredes en varias AZs para garantizar una alta disponibilidad. Para obtener instrucciones, consulte Configurar el VPC acceso en el AWS Lambda Guía para desarrolladores.
Lambda ejecuta automáticamente otras funciones de forma múltiple AZs para garantizar que esté disponible para procesar eventos en caso de una interrupción del servicio en una sola zona.
[Lambda.6] Las funciones Lambda deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::Lambda::Function
AWS Config regla: tagged-lambda-function
(regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen AWS requisitos |
No default value
|
Este control comprueba si un AWS Lambda la función tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys
. El control falla si la función no tiene ninguna tecla de etiqueta o si no tiene todas las teclas especificadas en el parámetrorequiredTagKeys
. Si requiredTagKeys
no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si la función no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:
, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluyendo AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar su AWS recursos en el Referencia general de AWS.
Corrección
Para añadir etiquetas a una función Lambda, consulte Uso de etiquetas en funciones Lambda en AWS Lambda Guía para desarrolladores.