Controles PCI DSS - AWS Security Hub
[PCI].AutoScaling.1] Los grupos de Auto Scaling asociados con un balanceador de carga deben usar comprobaciones de estado[PCI].CloudTrail1. 1] CloudTrail Los registros de se deben cifrar en reposo medianteAWS KMS keys[PCI].CloudTrail2. 2] CloudTrail debe estar habilitado[PCI].CloudTrail3. 3] CloudTrail Se debe habilitar la validación de archivo de registro[PCI].CloudTrail4. 1] CloudTrail los senderos deben integrarse con CloudWatch Registros[PCI].CodeBuild1. 1] CodeBuild GitHub o Las URL del repositorio de origen de Bitbucket de deben usar OAuth[PCI].CodeBuild2. 2] CodeBuild Las variables de entorno del proyecto no deben contener credenciales de texto sin cifrar[PCI.config.1] AWS Config debe estar habilitado[PCI.CW.1] Debe existir un filtro de métrica de registro y una alarma para el uso del usuario “raíz”[PCI.DMS.1]AWS Database Migration Servicelas instancias de replicación no deben ser públicas[PCI.EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente[PCI.EC2.2] El grupo de seguridad predeterminado de la VPC debería prohibir el tráfico entrante y saliente[PCI.EC2.3] Los grupos de seguridad de EC2 que no se utilicen deben eliminarse (retirados)[PCI.EC2.4] Los EIP EC2 sin utilizar deben eliminarse[PCI.EC2.5] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22[PCI.EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC[PCI.ELBV2.1] El Application Load Balancer debería configurarse para redirigir todas las solicitudes HTTP a HTTPS[PCI.ES.1] Los dominios de Elasticsearch deben estar en una VPC[PCI.ES.2] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo[PCI].GuardDuty1. 1] GuardDuty debe estar habilitado[PCI.IAM.1] La clave de acceso de usuario raíz de IAM no debe existir[PCI.IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas[PCI.IAM.3] Las políticas de IAM no deben permitir privilegios administrativos completos «*»[PCI.IAM.4] La MFA de hardware debe estar habilitada para el usuario raíz[PCI.IAM.5] La MFA virtual debe estar habilitada para el usuario raíz[PCI.IAM.6] MFA debe estar habilitada para todos los usuarios de IAM[PCI.IAM.7] Las credenciales de usuario de IAM deben deshabilitarse si no se utilizan dentro de un número de días predefinido[PCI.IAM.8] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras[PCI.KMS.1] La rotación de claves KMS debe estar habilitada[PCI.lambda.1] Las funciones de lambda deberían prohibir el acceso público[PCI.lambda.2] Las funciones de Lambda deben estar en una VPC[PCI].OpenSearch.1] Amazon OpenSearch Los dominios de servicio de deben estar en una VPC[PCI].OpenSearch2. 2] OpenSearch los dominios de deben tener habilitado el cifrado en reposo[PCI.RDS.1] Las instantáneas de Amazon RDS deberían prohibir el acceso público[PCI.RDS.2] Las instancias de base de datos de Amazon RDS deben prohibir el acceso público, en función de PubliclyAccessible configuración[PCI.Redshift.1] Los clústeres de Amazon Redshift deben prohibir el acceso público[PCI.S3.1] Los buckets de S3 deberían prohibir el acceso de escritura pública[PCI.S3.2] Los buckets de S3 deberían prohibir el acceso público de lectura[PCI.S3.3] Los buckets de S3 deben tener habilitada la replicación entre regiones[PCI.S3.4] Los buckets de S3 deben tener habilitado el cifrado del lado del servidor[PCI.S3.5] Los buckets de S3 deben requerir solicitudes para utilizar la capa de conexión segura[PCI.S3.6] La configuración de S3 Block Public Access debe estar habilitada[PCI].SageMaker.1] Amazon SageMaker las instancias de portátiles no deben tener acceso directo a Internet[PCI.SSM.1] Las instancias de Amazon EC2 administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche[PCI.SSM.2] Las instancias administradas por Systems Manager deben tener un estado de cumplimiento de asociación deCOMPLIANT[PCI.SSM.3] Las instancias EC2 deben gestionarse porAWS Systems Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles PCI DSS

PCI DSS en Security Hub admite los siguientes controles. Para cada control, la información incluye la gravedad, el tipo de recurso, la regla de AWS Config y los pasos de corrección.

[PCI].AutoScaling.1] Los grupos de Auto Scaling asociados con un balanceador de carga deben usar comprobaciones de estado

Gravedad: Baja

Tipo de recurso: AWS::AutoScaling::AutoScalingGroup

Regla de AWS Config: autoscaling-group-elb-healthcheck-required

Tipo de programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si sus grupos de Auto Scaling que están asociados a un balanceador de carga utilizan comprobaciones de estado de Elastic Load Balancing.

PCI DSS no requiere balanceo de carga ni configuraciones de alta disponibilidad. Sin embargo, esta comprobación se ajusta a las prácticas recomendadas de AWS.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 2.2: Desarrolle estándares de configuración para todos los componentes del sistema. Asegúrese de que estos estándares aborden todas las vulnerabilidades de seguridad conocidas y sean coherentes con los estándares de protección de sistemas aceptados por el sector.

La replicación de sistemas que utilizan el balanceo de carga proporciona alta disponibilidad y es un medio para mitigar los efectos de un evento DDoS.

Este es un método utilizado para implementar configuraciones de protección de sistemas.

Corrección

Para habilitar las comprobaciones de estado de Elastic

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Auto Scaling y elija Auto Scaling Groups (Grupos de Auto Scaling).

  3. Para seleccionar el grupo de la lista, elija el cuadro de la derecha.

  4. En Actions (Acciones), elija Edit (Editar)

  5. En Health Check Type (Tipo de comprobación de estado), seleccione ELB.

  6. En Health Check Grace Period (Período de gracia de la comprobación de estado), escriba 300.

  7. Seleccione Save (Guardar).

Para obtener más información sobre el uso de un balanceador de carga con un grupo de Auto Scaling, consulteGuía del usuario de Amazon EC2 Auto Scaling.

[PCI].CloudTrail1. 1] CloudTrail Los registros de se deben cifrar en reposo medianteAWS KMS keys

Gravedad: Media

Tipo de recurso: AWS::CloudTrail::Trail

Regla de AWS Config: cloud-trail-encryption-enabled

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba siAWS CloudTrailestá configurado para usar el cifrado del lado del servidor (SSE)AWS KMS key.

Si solo está utilizando la opción de cifrado predeterminada, puede optar por deshabilitar esta comprobación.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 3.4: Haga que los números de cuenta principal (PAN) sean ilegibles en cualquier lugar donde se almacenen (incluidos medios digitales portátiles, medios de copia de seguridad y registros).

Si utilizaAWSservicios para procesar y almacenar PAN, su CloudTrail Los registros de se deben cifrar en reposo. El cifrado de registros garantiza que si los registros capturan PAN, los PAN están protegidos.

De forma predeterminada, los archivos de registro entregados por CloudTrail a su bucket de S3 se cifran con el cifrado en el servidor de Amazon con claves de cifrado administradas por Amazon S3 (SSE-S3). ConsulteAmazon Simple Storage Service Developer Guide.

Puede configurar CloudTrail registros para aprovechar las claves administradas por el cliente para una mayor protección CloudTrailregistros.

Estos son métodos utilizados para hacer que PAN sea ilegible.

Corrección

Para solucionar este problema, habilite el cifrado de su CloudTrail archivos de registro.

Para obtener más detalles sobre cómo cifrar CloudTrail Archivos de registro conAWS KMSclaves administradas (SSE-KMS), consulteCifrado de CloudTrail Archivos de registro conAWS KMSclaves administradas de (SSE-KMS)en laAWS CloudTrailGuía del usuario de.

[PCI].CloudTrail2. 2] CloudTrail debe estar habilitado

Gravedad: Alta

Tipo de recurso: AWScuenta

Regla de AWS Config: cloudtrail-enabled

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba si CloudTrail está habilitado en suAWSaccount.

Algunos servicios de AWS no habilitan el registro de todas las API y eventos. Debe implementar cualquier seguimiento de auditoría adicional que no sea CloudTrail y revise la documentación de cada servicio enCloudTrail Servicios e integraciones compatibles con.

Requisitos relacionados de PCI DSS

Este control está asociado con los siguientes requisitos de PCI DSS:

PCI DSS 10.1: Implemente registros de seguimiento de auditoría para vincular todo el acceso a los componentes del sistema a cada usuario individual.

Habilitación de CloudTrail, el Historial de eventos le proporciona 90 días de eventos fácilmente disponibles y registros de seguimiento de auditoría para que cada usuario pueda acceder a los componentes del sistema.

Puede encontrar la identidad de los usuarios en laeventSourceSección sobre de la CloudTrail registro.

PCI DSS 10.2.1: implemente registros de seguimiento de auditoría automatizados para todos los componentes del sistema reconstruyan los siguientes eventos: Todos los usuarios individuales acceden a los datos del titular de la tarjeta

Dependiendo de dónde se almacenen los datos del titular de la tarjeta, el acceso individual del usuario a los datos del titular de la tarjeta se puede encontrar en lauserIdentity,eventSource,eventName, o bienresponseElementsSecciones de la CloudTrail registro.

PCI DSS 10.2.2: implemente registros de seguimiento de auditoría automatizados para todos los componentes del sistema reconstruyan los siguientes eventos: Todas las acciones realizadas por cualquier persona con privilegios administrativos o de root

La identificación del usuario raíz se encuentra en la sección userIdentity del registro.

PCI DSS 10.2.3: implemente registros de seguimiento de auditoría automatizados para todos los componentes del sistema reconstruyan los siguientes eventos: Acceso a todos los registros de auditoría

El acceso a los registros de seguimiento de auditoría se puede encontrar en las secciones eventSource, eventName o responseElements del registro.

PCI DSS 10.2.4: implemente registros de seguimiento de auditoría automatizados para todos los componentes del sistema reconstruyan los siguientes eventos: Intentos de acceso lógico no válidos

Puede encontrar intentos de acceso lógico no válidos en CloudTrail registros. Por ejemplo: responseElements : "ConsoleLogin" y responseElements : "Failure".

PCI DSS 10.2.5: implemente registros de seguimiento de auditoría automatizados para todos los componentes del sistema reconstruyan los siguientes eventos: Uso y cambios en los mecanismos de identificación y autenticación, incluyendo pero no limitado a la creación de nuevas cuentas y elevación de privilegios, y todos los cambios, adiciones o eliminaciones en cuentas con privilegios de administrador o raíz

El uso y los cambios en los mecanismos de identificación y autenticación pueden encontrarse en las secciones userAgent, eventName o responseElements del registro.

PCI DSS 10.2.6: implemente registros de seguimiento de auditoría automatizados para todos los componentes del sistema reconstruyan los siguientes eventos: Inicialización, detención o pausa de los registros de auditoría

El inicio y la detención del registro se captura en la CloudTrail registros.

Un ejemplo de inicio y detención del registro de auditoría se vería como sigue dentro de una CloudTrail Registro:eventName : "StopLogging"yeventName : "StartLogging"

PCI DSS 10.2.7: implemente registros de seguimiento de auditoría automatizados para todos los componentes del sistema reconstruyan los siguientes eventos: Creación y eliminación de objetos a nivel de sistema

La creación y eliminación de objetos en el nivel del sistema se capturan en la CloudTrail registros. Un ejemplo de un objeto de nivel del sistema sería una función de AWS Lambda.

CloudTrail capturacreateFunctionydeleteFunctionLlamadas a la API, como se describe en laAWS LambdaGuía para desarrolladores.

PCI DSS 10.3.1: registre al menos las siguientes entradas de registros de seguimiento de auditoría para todos los componentes del sistema para cada evento: Identificación del usuario

Puede encontrar la identificación del usuario en la sección userIdentity de los registros de CloudTrail .

PCI DSS 10.3.2: registre al menos las siguientes entradas de registros de seguimiento de auditoría para todos los componentes del sistema para cada evento: Tipo de evento

Puede encontrar el tipo de evento en la sección eventName del registro de CloudTrail.

PCI DSS 10.3.3: registre al menos las siguientes entradas de registros de seguimiento de auditoría para todos los componentes del sistema para cada evento: Fecha y hora

Puede encontrar la fecha y hora de un evento eneventTimeSección sobre de la CloudTrail registro.

PCI DSS 10.3.4: registre al menos las siguientes entradas de registros de seguimiento de auditoría para todos los componentes del sistema para cada evento: Indicación de éxito o error

Puede encontrar la indicación de éxito o fallo enresponseElementsSección sobre de la CloudTrail registro.

PCI DSS 10.3.5: registre al menos las siguientes entradas de registros de seguimiento de auditoría para todos los componentes del sistema para cada evento: Origen del evento

Puede encontrar el origen de un evento en lauserAgentosourceIPAddressSección sobre de la CloudTrail registro.

PCI DSS 10.3.6: registre al menos las siguientes entradas de registros de seguimiento de auditoría para todos los componentes del sistema para cada evento: Identidad o nombre de los datos, el componente del sistema o el recurso afectados.

Puede encontrar la identidad del recurso en laeventSourceSección sobre de la CloudTrail registro.

Corrección

Para crear un nuevo registro de seguimiento en CloudTrail

  1. Inicie sesión en laAWS Management Consolemediante el usuario de IAM que ha configurado para CloudTrailadministración.

  2. Abra el icono CloudTrail Consola de enhttps://console.aws.amazon.com/cloudtrail/.

  3. En la selección de Region (Región), elija la región de AWS en la que desea que se cree el registro de seguimiento. Esta es la región principal del registro de seguimiento.

    La región principal es la única región de AWS en la que puede ver y actualizar el registro de seguimiento una vez que se haya creado, incluso si el registro de seguimiento registra los eventos de todas las regiones de AWS.

  4. En el panel de navegación, seleccione Trails.

  5. En la página Trails (Registros de seguimiento), elija Get Started Now (Comenzar ahora). Si no ve esa opción, elija Create Trail (Crear registro de seguimiento).

  6. En Trail name (Nombre del registro de seguimiento), le proporciona un nombre al registro de seguimiento como, por ejemplo, My-Management-Events-Trail.

    Como práctica recomendada, utilice un nombre que identifique rápidamente el propósito del registro de seguimiento. En este caso, está creando un registro de seguimiento que registra eventos de administración.

  7. En Management Events (Eventos de administración, asegúrese de que Read/Write events (Eventos de lectura/escritura) está establecido en All (Todos).

  8. En Data Events (Eventos de datos), no haga ningún cambio. Este registro de seguimiento no registrará ningún evento de datos.

  9. Cree un nuevo bucket de S3 para los registros:

    1. En Storage Location (Ubicación de almacenamiento), en Create a new S3 bucket (Crear un bucket de S3 nuevo), elija Yes (Sí).

    2. En S3 bucket (Bucket de S3), proporcione a su bucket un nombre como, por ejemplo, my-bucket-for-storing-cloudtrail-logs.

      El nombre del bucket de S3 debe ser único de forma global. Para obtener más información acerca de los requisitos de nomenclatura de buckets de S3, consulteAWS CloudTrailGuía del usuario de.

    3. En Advanced (Avanzado), elija Yes (Sí) tanto para Encrypt log files with SSE-KMS (Cifrar archivos de registro con SSE-KMS) como para Enable log file validation (Habilitar validación de archivo de registro).

  10. Seleccione Create (Crear).

Para obtener más información, consulte el tutorial en laAWS CloudTrailGuía del usuario de.

[PCI].CloudTrail3. 3] CloudTrail Se debe habilitar la validación de archivo de registro

Gravedad: Baja

Tipo de recurso recurso recurso AWS::CloudTrail::Trail

Regla de AWS Config: cloud-trail-log-file-validation-enabled

Tipo de programación Periódico

Parámetros: Ninguno

Este control comprueba si CloudTrail La validación de archivos de registro está habilitada

No comprueba cuándo se alteran las configuraciones.

Para monitorear y alertar sobre los cambios en los archivos de registro de, puede utilizar Amazon EventBridge o CloudWatch filtros de métricas.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 10.5.2: Proteja los archivos de registros de auditoría de modificaciones no autorizadas

CloudTrail La validación de archivos de registro de crea un archivo de resumen firmado digitalmente que contiene un hash de cada registro que CloudTrail escribe en Amazon S3.

Puede utilizar estos archivos de resumen para determinar si un archivo de registro se ha modificado, eliminado o sigue igual después de CloudTrail entregó el registro.

Este es un método que ayuda a proteger los archivos de registros de seguimiento de auditoría de modificaciones no autorizadas.

PCI DSS 10.5.5: Utilice software de monitoreo de integridad de archivos o de detección de cambios en los registros para asegurarse de que los datos de registro existentes no se puedan cambiar sin generar alertas.

CloudTrail La validación de archivos de registro de crea un archivo de resumen firmado digitalmente que contiene un hash de cada registro que CloudTrail escribe en Amazon S3.

Puede utilizar estos archivos de resumen para determinar si un archivo de registro se ha modificado, eliminado o sigue igual después de CloudTrail entregó el registro.

Este es un método que ayuda a garantizar el monitoreo de la integridad de los archivos o el software de detección de cambios se utiliza en los registros.

Corrección

Para habilitar CloudTrail validación de archivos de registro

  1. Abra el icono CloudTrail Consola de enhttps://console.aws.amazon.com/cloudtrail/.

  2. Elija Trails (Registros de seguimiento).

  3. En la columna Name (Nombre), elija el nombre de un registro de seguimiento que desee editar.

  4. UNDetalles generales, eligeEditar.

  5. UNAjustes adicionales, paravalidación de archivos de registro, seleccioneEnabled (Habilitado).

  6. Seleccione Save (Guardar).

[PCI].CloudTrail4. 1] CloudTrail los senderos deben integrarse con CloudWatch Registros

Gravedad: Baja

Tipo de recurso: AWS::CloudTrail::Trail

Regla de AWS Config: cloud-trail-cloud-watch-logs-enabled

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba si CloudTrail Los registros de seguimiento de están configurados para enviar registros a CloudWatch Troncos.

No comprueba los permisos de usuario para modificar registros o grupos de registros. Debe crear CloudWatch reglas para alertar cuando CloudTrail se alteran los registros.

Este control tampoco comprueba si existen orígenes de registros de auditoría adicionales distintos de CloudTrailse envía a un CloudWatch Grupo de registros.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 10.5.3: Haga rápidamente copias de seguridad de los archivos de seguimiento de auditoría en un servidor de registro centralizado o en un medio que sea difícil de modificar

CloudTrail utiliza Amazon S3 para el almacenamiento y la entrega de archivos de registro, por lo que los archivos de registro se almacenan permanentemente.

CloudWatch Logs es una forma nativa de realizar rápidamente copias de seguridad de los archivos de registros de seguimiento de auditoría.

Corrección

Para garantizar que CloudTrail los registros de seguimiento se integran con CloudWatch Registros

  1. Abra el icono CloudTrail Consola de enhttps://console.aws.amazon.com/cloudtrail/.

  2. Elija Trails (Registros de seguimiento).

  3. Elija un sendero para el que no haya ningún valor en laCloudWatch Grupo de logs de logscolumn.

  4. Desplácese hacia abajo hasta elCloudWatch Registrossección y, a continuación, elijaEditar.

  5. ParaGrupo de registros, realice una de las siguientes acciones:

    • Para utilizar el grupo de registro predeterminado, deje el nombre como está.

    • Para usar un grupo de registros existente, elijaExistentey, a continuación, escriba el nombre del grupo de registro que se va a utilizar.

    • Para crear un nuevo grupo de registros, elijaNuevoy, a continuación, escriba un nombre para el grupo de registros que desea crear.

  6. Elija Continue (Continuar).

  7. En IAM role (Rol de IAM), realice una de las operaciones siguientes:

    • Para utilizar un rol de existente, elijaExistentey, a continuación, elija el rol de la lista desplegable.

    • Para crear un nuevo rol, elijaNuevoy, a continuación, especifique un nombre para el rol que desea crear.

      El nuevo rol se asigna a una política que concede los permisos necesarios.

    Para ver los permisos concedidos al rol, expanda laDocumento de política.

  8. Elija Save changes (Guardar cambios).

Para obtener más información acerca de la configuración CloudWatch Registra la supervisión con la consola, consulte laAWS CloudTrailGuía del usuario de.

[PCI].CodeBuild1. 1] CodeBuild GitHub o Las URL del repositorio de origen de Bitbucket de deben usar OAuth

Gravedad: Critical

Tipo de recurso: AWS::CodeBuild::Project

Regla de AWS Config: codebuild-project-source-repo-url-check

Tipo de programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si el GitHub o la URL del repositorio de código fuente de Bitbucket contiene tokens de acceso personales o un nombre de usuario y una contraseña.

nota

Este control no se admite en las siguientes regiones.

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

TIPO PCI DSS 8.2.1: Mediante criptografía fuerte, haga ilegibles todas las credenciales de autenticación (como contraseñas/frases) durante la transmisión y el almacenamiento en todos los componentes del sistema.

Puede usar CodeBuild en su entorno PCI DSS para compilar el código fuente, ejecutar pruebas unitarias o generar artefactos listos para implementar. Si lo hace, sus credenciales de autenticación nunca deben almacenarse o transmitirse en texto sin formato ni aparecer en la URL del repositorio.

Debe utilizar OAuth en lugar de tokens de acceso personal o un nombre de usuario y contraseña para conceder autorización de acceso GitHub o repositorios de Bitbucket. Este es un método para usar criptografía fuerte para hacer que las credenciales de autenticación sean ilegibles.

Corrección

Para quitar la autenticación básica/(GitHub) Token de acceso personal de CodeBuild Origen de proyecto

  1. Abra el icono CodeBuild Consola de enhttps://console.aws.amazon.com/codebuild/.

  2. Seleccione su proyecto de compilación que contiene tokens de acceso personales o un nombre de usuario y una contraseña.

  3. En Edit (Editar), elija Source (Origen).

  4. ElegirDesconectar de GitHub /BitBucket.

  5. ElegirConnect mediante OAuthy luegoConnect to GitHub /BitBucket.

  6. En el mensaje mostrado por su proveedor de origen, autorícelo según corresponda.

  7. Vuelva a configurar la Repository URL (URL de repositorio) y ajustes de Additional configuration (Configuración adicional), según sea necesario.

  8. Elija Update source (Actualizar origen).

Para ver CodeBuild Ejemplos basados en casos de uso de, consulte laAWS CodeBuildGuía del usuario de.

[PCI].CodeBuild2. 2] CodeBuild Las variables de entorno del proyecto no deben contener credenciales de texto sin cifrar

Gravedad: Critical

Tipo de recurso: AWS::CodeBuild::Project

Regla de AWS Config: codebuild-project-envvar-awscred-check

Schedule: Cambio activado

Parámetros: Ninguno

Este control comprueba si el proyecto contiene las variables de entorno AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY.

nota

Este control no se admite en las siguientes regiones.

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

TIPO PCI DSS 8.2.1: Mediante criptografía fuerte, haga ilegibles todas las credenciales de autenticación (como contraseñas/frases) durante la transmisión y el almacenamiento en todos los componentes del sistema.

Puede usar CodeBuild en su entorno PCI DSS para compilar el código fuente, ejecutar pruebas unitarias o generar artefactos listos para implementar. Si lo hace, nunca almacene las credenciales de autenticaciónAWS_ACCESS_KEY_IDyAWS_SECRET_ACCESS_KEYen texto claro.

Uso de variables de entorno para almacenar las credenciales en su CodeBuild project podría infringir el requisito de usar criptografía fuerte para hacer que las credenciales de autenticación sean ilegibles.

Corrección

Para hacer referencia a datos confidenciales en CodeBuild tiempo de ejecución mediante variables de entorno, utilice los procedimientos siguientes.

Para eliminar una variable de entorno

  1. Abra el icono CodeBuild Consola de enhttps://console.aws.amazon.com/codebuild/.

  2. Amplíe Build (Compilación), elija Build project (Proyecto de compilación) y, a continuación, elija el proyecto de compilación que contiene credenciales en texto sin cifrar.

  3. En Edit (Editar), seleccione Environment (Entorno).

  4. Expanda Additional configuration (Configuración adicional) y, a continuación, desplácese a Environment variables (Variables de entorno).

  5. Elija Remove (Quitar) junto a la variable de entorno.

  6. Seleccione Update environment (Actualizar entorno).

Para almacenar valores confidenciales en el almacén de parámetros de Amazon EC2 Systems Manager y, a continuación, recuperarlos de la especificación de compilación

  1. Abra el icono CodeBuild Consola de enhttps://console.aws.amazon.com/codebuild/.

  2. Expanda Build (Compilación), elija Build project (Proyecto de compilación) y, a continuación, elija el proyecto de compilación que contiene credenciales en texto sin cifrar.

  3. En Edit (Editar), seleccione Environment (Entorno).

  4. Expanda Additional configuration (Configuración adicional) y, a continuación, desplácese a Environment variables (Variables de entorno).

  5. EnAWS Systems Manager, cree un parámetro de Systems Manager que contenga información confidencial. Para obtener instrucciones sobre cómo hacerlo, consulte el tutorial en laAWS Systems ManagerGuía del usuario de.

  6. Después de crear el parámetro, copie el nombre del parámetro.

  7. De vuelta en el CodeBuild consola, elijaCrear variable de entorno.

  8. En name (nombre), introduzca el nombre de la variable tal y como aparece en la especificación de compilación.

  9. En Value (Valor), pegue el nombre de su parámetro.

  10. En type (tipo), elija Parameter (Parámetro).

  11. ElegirRemovejunto a la variable de entorno no conforme que contiene las credenciales de texto sin formato.

  12. Seleccione Update environment (Actualizar entorno).

Consulte la información sobre variables de entorno en entornos de compilación en laAWS CodeBuildGuía del usuario de.

[PCI.config.1] AWS Config debe estar habilitado

Gravedad: Media

Tipo de recurso: AWScuenta

AWS ConfigRegla de : Ninguno. Para ejecutar esta comprobación, Security Hub ejecuta los pasos de auditoría prescritos enProtección de Amazon Web Services. Para esta comprobación, no se crean reglas administradas de AWS Config en su entorno de AWS.

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba si AWS Config está habilitado en la cuenta para la región local y si registra todos los recursos.

No comprueba la detección de cambios para todos los archivos críticos del sistema y archivos de contenido, ya que AWS Config solo admite un subconjunto de tipos de recursos.

AWS Config es un servicio que se encarga de administrar la configuración de los recursos de AWS admitidos en la cuenta y le proporciona archivos de registro. La información registrada incluye el elemento de configuración (recurso de AWS), las relaciones entre elementos de configuración y cualquier cambio de configuración entre recursos.

Security Hub recomienda que habiliteAWS Configen todas las regiones de. El historial del elemento de configuración de AWS que AWS Config captura, permite realizar análisis de seguridad, seguimientos de cambios en los recursos y auditorías de conformidad.

nota

Como Security Hub es un servicio regional, la comprobación que se realiza con este control solo se aplica a la región actual de la cuenta. La comprobación no se realiza en todas las regiones.

Para permitir comprobaciones de seguridad con recursos globales en cada región, también debe registrar recursos globales. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Para obtener más información, consulte AWS Config Developer Guide.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 10.5.2: Proteja los archivos de registros de auditoría de modificaciones no autorizadas

AWS Config monitorea, realiza un seguimiento y evalúa de forma continua las configuraciones de recursos de AWS para la configuración deseada y genera archivos de historial de cambios de configuración cada seis horas.

Debe habilitar AWS Config para proteger los archivos de registros de seguimiento de auditoría de modificaciones no autorizadas.

PCI DSS 11,5: implemente un mecanismo de detección de cambios para alertar al personal de la modificación no autorizada de archivos críticos del sistema, archivos de configuración o archivos de contenido; y configure el software para realizar comparaciones críticas de archivos al menos semanalmente.

AWS Config monitorea, realiza un seguimiento y evalúa de forma continua las configuraciones de recursos de AWS para la configuración deseada y genera archivos de historial de cambios de configuración cada seis horas.

Debe habilitar AWS Config para asegurarse de que se implemente un mecanismo de detección de cambios y que esté configurado para realizar comparaciones críticas de los archivos al menos semanalmente.

Corrección

Para configurar los ajustes de AWS Config

  1. Abra la consola de AWS Config en https://console.aws.amazon.com/config/.

  2. Seleccione la región en la que va a configurar AWS Config.

  3. Si no ha utilizadoAWS Configantes, consulteIntroducciónen laAWS ConfigGuía para desarrolladores.

  4. Vaya a la página Configuración del menú y haga lo siguiente:

    • Elija Edit (Editar).

    • UNTipos de recursos para registrar, seleccioneRegistrar todos los recursos apoyados en esta regiónyIncluir recursos globales (por ejemplo,AWSRecursos de IAM).

    • UNTiempo de retención de datos, seleccione el período de retención predeterminado paraAWS Configdatos o especificar un período de retención personalizado.

    • UNAWS Configrol de, o bien eligeCrearAWS ConfigRol vinculado al servicio deo eligeElija un rol de su cuentay a continuación, seleccione el rol que se va a utilizar

    • En Amazon S3 bucket (Bucket de Amazon S3), especifique el bucket a usar o cree un bucket y, de forma opcional, incluya un prefijo.

    • UNTema de Amazon SNS, seleccione un tema de Amazon SNS de de su cuenta o cree uno. Para obtener más información acerca de Amazon SNS, consulte laAmazon Simple.

  5. Seleccione Save (Guardar).

Para obtener más información acerca del uso deAWS Configdesde lasAWS CLI, consulteAWS ConfigGuía para desarrolladores.

También puede utilizar una plantilla de AWS CloudFormation para automatizar este proceso. Para obtener más información, consulte la Guía del usuario de AWS CloudFormation.

[PCI.CW.1] Debe existir un filtro de métrica de registro y una alarma para el uso del usuario “raíz”

Gravedad: Critical

Tipo de recurso: AWScuenta

AWS ConfigRegla de : Ninguno. Security Hub ejecuta los pasos de auditoría sin crear unAWS Configreglas administradas en suAWScuenta para este cheque.

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba si hay CloudWatch filtros de métricas con el siguiente patrón:

{ $.userIdentity.type = "Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }

Comprueba lo siguiente:

  • El nombre del grupo de registro está configurado para su uso con de varias regiones activa CloudTrail.

  • Hay al menos un Selector de eventos para un registro de seguimiento con IncludeManagementEvents establecido en true y ReadWriteType establecido en All.

  • Hay al menos un suscriptor activo a un tema de Amazon SNS asociado con la alarma.

nota

Cuando Security Hub realiza la comprobación de este control, busca CloudTrail rastreos que utiliza la cuenta corriente. Estas rutas pueden ser rutas organizativas que pertenecen a otra cuenta. Los registros de seguimiento de varias regiones también podrían estar basados en una región diferente.

Los resultados de la verificación enFAILEDhallazgos en los siguientes casos:

  • No hay ninguna ruta configurada.

  • Los senderos disponibles que se encuentran en la Región actual y que son propiedad de la cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control deNO_DATAen los casos siguientes:

  • El registro de seguimiento de seguimiento de varias regiones se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

  • El registro de seguimiento de seguimiento de varias regiones pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria del seguimiento.

Para activar la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando alListSubscriptionsByTopic. De lo contrario, Security Hub generaWARNINGhallazgos para el control.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

TIPO PCI DSS 7.2.1: establezca sistemas de control de acceso para los componentes del sistema que restrinja el acceso en función de la necesidad de datos del usuario y esté configurado en «denegar todo» a menos que se permita específicamente. Este sistema o sistemas de control de acceso deben incluir lo siguiente: Cobertura de todos los componentes del sistema.

El usuario raíz es el usuario con más privilegios de una cuenta de AWS y tiene acceso ilimitado a todos los recursos de la cuenta de AWS.

Debe configurar filtros y alarmas de métricas de registro en caso de queCuenta de AWSse utilizan las credenciales de usuario raíz.

También debe asegurarse de que CloudTrail está habilitado para mantener un registro de seguimiento de auditoría de las acciones realizadas por cualquier persona con privilegios de administrador o raíz (consulte[PCI].CloudTrail2. 2] CloudTrail debe estar habilitado). La identificación del usuario raíz se encontraría en lauserIdentitySección sobre de la CloudTrail registro.

Corrección

Los pasos de solución de problemas en este caso incluyen configurar un tema de Amazon SNS, un filtro de métricas y una alarma para el filtro de métricas.

Son los mismos pasos para solucionar los resultados de 3.3 — Asegurar que haya un filtro de métricas de registro y alarma de registro para el uso del usuario raíz .

Para crear un tema de Amazon SNS

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema.

    Para obtener más información acerca de la creación de temas de Amazon SNS, consulte laAmazon Simple.

  3. Configurar un dispositivo de CloudTrail registro de seguimiento que se aplica a todas las regiones.

    Para ello, siga los pasos de corrección que se indican en 2.1: Asegurar CloudTrail está habilitado en todas las regiones.

    Tome nota del nombre del grupo de registros asociado.

Para crear un filtro de métricas y alarma

  1. Abra el icono CloudWatch Consola de enhttps://console.aws.amazon.com/cloudwatch/.

  2. ElegirRegistrosy, después,Grupos de registros.

  3. Elija el grupo de registros donde CloudTrail está registrando.

  4. En la página de detalles del grupo de registros, elijaFiltros de métricas.

  5. Elija Create metric filter (Crear filtro de métricas).

  6. Copie el siguiente patrón y, a continuación, péguelo enPatrón de filtro.

    {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
  7. Elija Next (Siguiente).

  8. Escriba el nombre del nuevo filtro. Por ejemplo, RootAccountUsage.

  9. Confirme que el valor deEspacio de nombres de métricaesLogMetrics.

    De este modo, se garantiza que todas las métricas del indicador de referencia de CIS se agrupen juntas.

  10. EnNombre de métrica, escriba el nombre de la métrica.

  11. EnValor de la métrica, introduzca1y luego elijaPróximo.

  12. Elija Create metric filter (Crear filtro de métricas).

  13. A continuación, configure la notificación. Seleccione el filtro de métricas que acaba de crear y después elijaCrear alarma.

  14. Introduzca el umbral de la alarma (por ejemplo,1) y, después,Próximo.

  15. UNSeleccione un tema de SNS, paraEnviar notificación a, elige una lista de correo y, a continuación, eligePróximo.

  16. Escriba unNombreyDescripciónpara la alarma, comoRootAccountUsageAlarmy, después,Próximo.

  17. Elija Create Alarm (Crear alarma).

[PCI.DMS.1]AWS Database Migration Servicelas instancias de replicación no deben ser públicas

Gravedad:Critical

Tipo de recurso: AWS::DMS::ReplicationInstance

Regla de AWS Config: dms-replication-not-public

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba siAWS DMSLas instancias de replicación de son públicas. Para ello, se examina el valor delPubliclyAccessible.

Las instancias de replicación privadas tienen una dirección IP privada a la que no puede obtener acceso desde fuera de la red de replicación. Las instancias de replicación deben tener una dirección IP privada cuando las bases de datos de origen y destino están en la misma red y la red está conectada a la VPC de la instancia de replicación mediante una VPN,AWS Direct Connecto interconexión de VPC. Para obtener más información sobre las instancias de replicación públicas y privadas, consulteInstancias de replicación pública y privadaen laAWS Database Migration ServiceGuía del usuario de.

También debe asegurarse de que el acceso a suAWS DMSla configuración de la instancia está limitada solo a los usuarios autorizados. Para ello, restrinja los permisos de IAM de los usuarios para modificarAWS DMSconfiguración y recursos.

nota

Este control no se admite en las siguientes regiones.

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS.

PCI DSS 1.2.1: restrinja el tráfico entrante y saliente al que sea necesario para el entorno de datos del titular de la tarjeta (CDE) y deniegue específicamente todo el resto del tráfico.

Si usaAWS DMSen el CDE definido, defina la instancia de replicaciónPubliclyAccessible.'false'. Permitir el acceso público a la instancia de replicación podría infringir el requisito de permitir solo el tráfico necesario hacia y desde el CDE.

PCI DSS 1.3.1: implemente una DMZ para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

Si usaAWS DMSen el CDE definido, defina la instancia de replicaciónPubliclyAccessible.'false'. Permitir el acceso público a la instancia de replicación podría infringir el requisito de limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

PCI DSS 1.3.2: limite el tráfico entrante de Internet a direcciones IP situadas dentro de la DMZ.

Si usaAWS DMSen el CDE definido, defina la instancia de replicaciónPubliclyAccessible.'false'. Permitir el acceso público a la instancia de replicación podría infringir el requisito de limitar el tráfico entrante a direcciones IP dentro de la DMZ.

PCI DSS 1.3.4 No permita tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

Si usaAWS DMSen el CDE definido, defina la instancia de replicaciónPubliclyAccessible.'false'. Permitir el acceso público a la instancia de replicación podría infringir el requisito de bloquear el tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

PCI DSS 1.3.6 coloque los componentes del sistema que almacenan datos del titular de la tarjeta (como una base de datos) en una zona de red interna, separada de la DMZ y de otras redes que no sean de confianza.

Si usaAWS DMSen su CDE definido, para migrar una base de datos que almacene los datos de los titulares de tarjetas de crédito, definaPubliclyAccessible.'false'. Permitir el acceso público a la instancia de replicación podría infringir el requisito de colocar componentes del sistema que almacenan datos del titular de la tarjeta en una zona de red interna, separada de la DMZ y de otras redes que no sean de confianza.

Corrección

Tenga en cuenta que no puede cambiar la configuración de acceso público una vez que se haya creado una instancia de replicación. Debe eliminarse y volver a crearse.

Para configurar laAWS DMSconfiguración de instancias de replicación para que no sean de acceso público

  1. Abra la consola de AWS Database Migration Service en https://console.aws.amazon.com/dms/.

  2. En el panel de navegación izquierdo, enAdministración de recursos, vaya aInstancias de replicación.

  3. Para eliminar la instancia pública, seleccione la casilla de verificación de la instancia, elijaActionsy, después,borrar.

  4. Elija Create replication instance. Proporcione los detalles de la configuración.

  5. Para deshabilitar el acceso público, asegúrese de quePublicly accessible (Accesible públicamente)no está seleccionada.

  6. Seleccione Create (Crear).

Para obtener más información, consulte la sección sobreCreación de una instancia de replicaciónen laAWS Database Migration ServiceGuía del usuario de.

[PCI.EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente

Gravedad: Critical

Tipo de recurso: AWS::EC2::Volume

Regla de AWS Config: ebs-snapshot-public-restorable-check

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba si las instantáneas de Amazon Elastic Block Store no se pueden restaurar públicamente por todos. Las instantáneas de Amazon EBS no deben ser restaurables públicamente por todos, a menos que usted lo permita explícitamente, para evitar la exposición accidental de la información confidencial de su empresa.

También debe asegurarse de que los permisos para cambiar configuraciones de Amazon EBS estén restringidos a los autorizadosAWSsolo para las cuentas. Obtenga más información sobre la administración de permisos de instantáneas de Amazon EBS en laGuía del usuario de Amazon EC2 para instancias de Linux.

nota

Este control no se admite en las siguientes regiones.

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 1.2.1: restrinja el tráfico entrante y saliente al que sea necesario para el entorno de datos del titular de la tarjeta (CDE) y deniegue específicamente todo el resto del tráfico.

Las instantáneas de Amazon EBS se utilizan para hacer una copia de seguridad de los datos en los volúmenes de Amazon EBS en Amazon S3 en momentos específicos. Se pueden utilizar para restaurar estados anteriores de volúmenes de EBS.

Si una instantánea de Amazon EBS almacena datos del titular de la tarjeta, no debería ser restaurable públicamente por todos. Esto infringiría el requisito de permitir solo el tráfico necesario hacia y desde el CDE.

PCI DSS 1.3.1: Implemente una DMZ para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

Las instantáneas de Amazon EBS se utilizan para hacer una copia de seguridad de los datos en los volúmenes de Amazon EBS en Amazon S3 en momentos específicos. Se pueden utilizar para restaurar estados anteriores de volúmenes de Amazon EBS.

Si una instantánea de Amazon EBS almacena datos del titular de la tarjeta, no debería ser restaurable públicamente por todos. Esto infringiría el requisito de limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

TIPO PCI DSS 1.3.4: No permita tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

Las instantáneas de Amazon EBS se utilizan para hacer una copia de seguridad de los datos en los volúmenes de Amazon EBS en Amazon S3 en momentos específicos y se pueden utilizar para restaurar estados anteriores de los volúmenes de EBS.

Si una instantánea de Amazon EBS almacena datos del titular de la tarjeta, no debería ser restaurable públicamente por todos. Esto violaría el requisito de bloquear el tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

TIPO PCI DSS 7.2.1: Establezca sistemas de control de acceso para los componentes del sistema que restrinja el acceso en función de la necesidad de datos del usuario y configúrelo para «denegar todo» a menos que se permita específicamente. Este sistema o sistemas de control de acceso deben incluir lo siguiente: Cobertura de todos los componentes del sistema.

Las instantáneas de Amazon EBS se utilizan para hacer una copia de seguridad de los datos contenidos en los volúmenes de Amazon EBS en Amazon S3 en un momento específico. Se pueden utilizar para restaurar estados anteriores de volúmenes de Amazon EBS.

Si una instantánea de Amazon EBS almacena datos del titular de la tarjeta, no debería ser restaurable públicamente por todos. Esto puede infringir el requisito de garantizar que el acceso a los componentes del sistema se restrinja al mínimo privilegio necesario o a la necesidad de datos del usuario.

Corrección

Para convertir una instantánea de Amazon EBS pública en privada

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, enElastic Block Store, eligeInstantáneas dey, a continuación, selecciona tu instantánea pública.

  3. Elija Actions (Acciones), y, a continuación, elija Modify permissions (Modificar permisos)

  4. Seleccione Private (Privadas).

  5. (Opcional) AgregarAWSnúmeros de cuenta de las cuentas autorizadas con las que compartir su instantánea.

  6. Seleccione Guardar

Para obtener más información acerca del uso compartido de una instantánea de Amazon EBS, consulte laGuía del usuario de Amazon EC2 para instancias de Linux.

[PCI.EC2.2] El grupo de seguridad predeterminado de la VPC debería prohibir el tráfico entrante y saliente

Gravedad: Media

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config: vpc-default-security-group-closed

Tipo de programación: Cambio activado

Parámetros: Ninguno

Este control comprueba que el grupo de seguridad predeterminado de una VPC no permita el tráfico entrante ni saliente.

No comprueba las restricciones de acceso para otros grupos de seguridad que no son predeterminados ni para otras configuraciones de la VPC.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 1.2.1: restrinja el tráfico entrante y saliente al que sea necesario para el entorno de datos del titular de la tarjeta (CDE) y deniegue específicamente todo el resto del tráfico.

Si un servicio que está en el ámbito de PCI DSS está asociado con el grupo de seguridad predeterminado, las reglas predeterminadas del grupo de seguridad permitirán todo el tráfico saliente. Las reglas también permiten todo el tráfico entrante procedente de las interfaces de red (y las instancias asociadas) asignadas al mismo grupo de seguridad.

Debe cambiar la configuración predeterminada de reglas del grupo de seguridad para restringir el tráfico entrante y saliente. El uso del valor predeterminado podría infringir el requisito de permitir solo el tráfico necesario hacia y desde el CDE.

TIPO PCI DSS 1.3.4: No permita tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

Si un servicio que está en el ámbito de PCI DSS está asociado con el grupo de seguridad predeterminado, las reglas predeterminadas del grupo de seguridad permitirán todo el tráfico saliente. Las reglas también permiten todo el tráfico entrante procedente de las interfaces de red (y las instancias asociadas) asignadas al mismo grupo de seguridad.

Debe cambiar la configuración predeterminada de reglas del grupo de seguridad para restringir el tráfico entrante y saliente no autorizado. Usar el valor predeterminado podría infringir el requisito de bloquear el tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

PCI DSS 2.1: Cambie siempre los valores predeterminados proporcionados por el proveedor y elimine o deshabilite las cuentas predeterminadas innecesarias antes de instalar un sistema en la red.

Si un servicio que está en el ámbito de PCI DSS está asociado con el grupo de seguridad predeterminado, las reglas predeterminadas del grupo de seguridad permitirán todo el tráfico saliente. Las reglas también permiten todo el tráfico entrante procedente de las interfaces de red (y las instancias asociadas) asignadas al mismo grupo de seguridad.

Debe cambiar la configuración predeterminada de reglas del grupo de seguridad para restringir el tráfico entrante y saliente. Usar el valor predeterminado puede infringir el requisito de eliminar o deshabilitar cuentas predeterminadas innecesarias.

Corrección

Para solucionar este problema, cree nuevos grupos de seguridad y asígnelos a sus recursos. Para evitar que se utilicen los grupos de seguridad predeterminados, elimine sus reglas de entrada y salida.

Para crear nuevos grupos de seguridad y asignarlos a sus recursos

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad). Vea los detalles de los grupos de seguridad predeterminados para ver los recursos que tienen asignados.

  3. Cree un conjunto de grupos de seguridad con privilegios mínimos para los recursos. Para obtener información detallada acerca de la forma de crear grupos de seguridad, consulteCrear un grupo de seguridaden laAmazon VPC User Guide.

  4. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  5. En la consola de Amazon EC2, cambie el grupo de seguridad de los recursos que utilizan los grupos de seguridad predeterminados al grupo de seguridad con privilegios mínimos que ha creado. ConsulteCambiar los grupos de seguridad de una instanciaen laAmazon VPC User Guide.

Después de asignar los nuevos grupos de seguridad a los recursos, elimine las reglas de entrada y salida de los grupos de seguridad predeterminados. Esto garantiza que no se utilicen los grupos de seguridad predeterminados.

Para eliminar las reglas del grupo de seguridad predeterminado

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione un grupo de seguridad predeterminado y elija laReglas de entradatabaña. Elija Edit inbound rules (Editar reglas de entrada). A continuación, elimine todas las reglas de entrada. Seleccione Save rules (Guardar reglas).

  4. Repita el paso anterior para cada grupo de seguridad predeterminado.

  5. Seleccione un grupo de seguridad predeterminado y elija laReglas de salidatabaña. ElegirEdit Started reglas de salida. A continuación, elimine todas las reglas de salida. Seleccione Save rules (Guardar reglas).

  6. Repita el paso anterior para cada grupo de seguridad predeterminado.

Para obtener más información sobre cómo trabajar con grupos de seguridad en Amazon VPC, consulteAmazon VPC User Guide.

[PCI.EC2.3] Los grupos de seguridad de EC2 que no se utilicen deben eliminarse (retirados)

Este control está retirado.

[PCI.EC2.4] Los EIP EC2 sin utilizar deben eliminarse

Gravedad: Baja

Tipo de recurso: AWS::EC2::EIP

Regla de AWS Config: eip-attached

Tipo de programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si las direcciones IP elásticas que están asignadas a una VPC están asociadas a instancias de Amazon EC2 o interfaces de red elásticas (ENI) en uso.

Un error en el hallazgo indica que puede tener EIP de Amazon EC2 de sin utilizar.

Esto le ayudará a mantener un inventario de activos de EIP preciso en su entorno de datos del titular de la tarjeta (CDE).

nota

Este control de no está soportado en África (Ciudad del Cabo) o Europa (Milán).

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 2.4: Mantenga un inventario de los componentes del sistema que están dentro del ámbito de PCI DSS.

Si un EIP no está asociado a una instancia de Amazon EC2, esto es una indicación de que ya no está en uso.

A menos que exista una necesidad empresarial de conservarlos, debe eliminar los recursos no utilizados para mantener un inventario preciso de los componentes del sistema.

Corrección

Si ya no necesita una dirección IP elástica, Security Hub recomienda liberarla (la dirección no debe estar asociada a una instancia).

Para liberar una dirección IP elástica con la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, en Network & Security, seleccione Elastic IPs.

  3. Seleccione la dirección IP elástica, elija laActionsy luego elijaLiberación de la dirección IP elástica.

  4. Cuando se le solicite, elija Release.

Para obtener más información, consulte la información sobre cómo liberar direcciones IP elásticas en laGuía del usuario de Amazon EC2 para instancias de Linux.

[PCI.EC2.5] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22

Gravedad: Alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config: restricted-ssh

Tipo de programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si los grupos de seguridad que se están utilizando prohíben el tráfico de SSH entrante ilimitado.

No evalúa el tráfico saliente.

Tenga en cuenta que los grupos de seguridad tienen estado. Si envía una solicitud desde su instancia, se permite el flujo del tráfico de respuesta para dicha solicitud independientemente de las reglas de entrada del grupo de seguridad. El flujo saliente de las respuestas al tráfico entrante está permitido independientemente de las reglas salientes. Para obtener más información acerca de los grupos de seguridad, consulteGrupos de seguridad de su VPCen laAmazon VPC User Guide.

nota

Este control no se admite en las siguientes regiones.

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 1.2.1: restrinja el tráfico entrante y saliente al que sea necesario para el entorno de datos del titular de la tarjeta (CDE) y deniegue específicamente todo el resto del tráfico.

Puede permitir el tráfico SSH a las instancias que están en el CDE definido. Si es así, restrinja el origen de SSH entrante desde 0.0.0.0.0/0 (en cualquier lugar) a una dirección IP o rango específico. Dejar el acceso sin restricciones a SSH podría infringir el requisito de permitir solo el tráfico necesario hacia y desde el CDE.

PCI DSS 1.3.1: implemente una DMZ para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

Puede permitir el tráfico SSH a las instancias que están en el CDE definido. Si es así, restrinja el origen SSH entrante desde 0.0.0/0 (en cualquier lugar) a una dirección IP o rango específico. Dejar el acceso sin restricciones a SSH podría infringir el requisito de limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

PCI DSS 2.2.2 Habilite solo los servicios, protocolos, demonios, etc. necesarios, según sea necesario para el funcionamiento del sistema.

Puede permitir el tráfico SSH a las instancias que están en el CDE definido. Si es así, restrinja el origen SSH entrante de 0.0.0.0/0 (en cualquier lugar) a una dirección IP o rango específico según sea necesario para la función del grupo de seguridad. Dentro de un CDE, un grupo de seguridad podría considerarse un componente del sistema, que debería reforzarse adecuadamente. Dejar el acceso sin restricciones a SSH podría infringir el requisito de habilitar solo los servicios, protocolos, demonios, etc. necesarios para el funcionamiento del sistema.

Corrección

Realice los pasos que se describen a continuación para cada grupo de seguridad asociado con una VPC.

Para eliminar el acceso al puerto 22 de un grupo de seguridad

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, enSeguridad, eligeGrupos de seguridad.

  3. Seleccione un grupo de seguridad.

  4. En la parte inferior de la página, elijaReglas de entrada.

  5. Elija Edit inbound rules (Editar reglas de entrada).

  6. Identifique la regla que permite el acceso a través del puerto 22 y, a continuación, elija la X para eliminarla.

  7. Seleccione Save rules (Guardar reglas).

[PCI.EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

Gravedad: Media

Tipo de recurso: AWS::EC2::VPC

Regla de AWS Config: vpc-flow-logs-enabled

Tipo de programación: Periódico

Parámetros:

  • trafficTypeREJECT

Este control comprueba si se encuentran los registros de flujo de VPC y si están habilitados para VPC. El tipo de tráfico se establece enREJECT.

Con los registros de flujo de VPC, puede capturar información acerca del tráfico de direcciones IP entrante y saliente de las interfaces de red de en su VPC. Una vez creado un log de flujo, puede usar CloudWatch Registros para ver y recuperar los datos de registro.

Security Hub recomienda que habilite el registro de flujo para rechazos de paquetes para VPC. Los registros de flujo proporcionan visibilidad del tráfico de red que atraviesa la VPC. Pueden detectar el tráfico anómalo y proporcionar información sobre los flujos de trabajo de seguridad.

De forma predeterminada, el registro incluye valores para los distintos componentes del flujo de direcciones IP, incluido el origen, el destino y el protocolo. Para obtener más información y descripciones de los campos de registro, consulteLogs de flujo de VPCen laAmazon VPC User Guide.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS.

PCI DSS 10.3.3 Verifique que la marca de fecha y hora esté incluida en las entradas del registro.

Al habilitar el registro de flujos de VPC para la VPC, puede identificar la fecha y la hora de una entrada de registro. La fecha y la hora del evento se registran en los campos de inicio y fin. Los valores se muestran en segundos de Unix.

PCI DSS 10.3.4 Verifique que la indicación de éxito o fracaso esté incluida en las entradas del registro.

Al habilitar el registro de flujos de VPC para la VPC, puede identificar el tipo de evento que se produjo. El tipo de evento se registra en el campo de acción y puede serACCEPToREJECT.

PCI DSS 10.3.5 Verifique que el origen del evento esté incluido en las entradas del registro.

Al habilitar el registro de flujos de VPC para la VPC, puede verificar el origen de un evento. El origen del evento se registra en elpkt-srcaddr,srcaddr, ysrcport. Estos campos de muestran la dirección IP de origen y el puerto de origen del tráfico.

PCI DSS 10.3.6 Verifique que la identidad o el nombre de los datos afectados, componente del sistema o recursos estén incluidos en las entradas de registro.

Al habilitar el registro de flujo de VPC para la VPC, puede verificar la identidad o el nombre de los datos, los componentes del sistema o los recursos afectados. Lapkt-dstaddr,dstaddr, ydstportLos campos muestran la dirección IP de destino y el puerto de destino del tráfico.

Corrección

Para solucionar este problema, habilite el registro de flujo de la VPC.

Para habilitar el registro de flujo de la VPC

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, enCloud virtual privada, eligeLas VPC.

  3. Seleccione la VPC que se va a actualizar.

  4. En la parte inferior de la página, elijaLogs de flujo de.

  5. Elija Create flow log (Crear registro de flujo).

  6. En Filter (Filtro), elija Reject (Rechazar).

  7. ParaGrupo de registros de destino, elija el grupo de registros que se va a utilizar.

  8. Si eligióCloudWatch Registrospara el grupo de registro de destino, paraRol de IAM, elija la función de IAM que va a usar.

  9. Seleccione Create (Crear).

[PCI.ELBV2.1] El Application Load Balancer debería configurarse para redirigir todas las solicitudes HTTP a HTTPS

Gravedad: Media

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

Regla de AWS Config: alb-http-to-https-redirection-check

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba si el redireccionamiento de HTTP a HTTPS está configurado en todos los agentes de escucha HTTP de los balanceadores de carga de aplicaciones. El control falla si alguno de los agentes de escucha HTTP de Application Load Balancer no tiene configurado el redireccionamiento de HTTP a HTTPS.

Antes de comenzar a utilizar el Application Load Balancer, debe agregar uno o varios agentes de escucha. Un agente de escucha es un proceso que utiliza el protocolo y el puerto configurados para comprobar las solicitudes de conexión. Los agentes de escucha admiten los protocolos HTTP y HTTPS. Puede utilizar un agente de escucha HTTPS para trasladar la carga de cifrado y descifrado al balanceador de carga. Para forzar el cifrado en tránsito, debe usar acciones de redireccionamiento con los balanceadores de carga de aplicaciones para redirigir las solicitudes HTTP del cliente hacia una solicitud HTTPS en el puerto 443.

Para obtener más información, consulteAgentes de escucha para Application Load BalancerenGuía del usuario para Application Load Balancers.

nota

Este control no se admite en las siguientes regiones.

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 2.3 Cifre todos los accesos administrativos que no sean de consola mediante criptografía sólida.

Si usa balanceadores de carga de aplicaciones con un agente de escucha HTTP, asegúrese de que el agente de escucha se redirija a HTTPS para cualquier acceso administrativo que no sea de consola. Permitir la autenticación sin cifrar a través de HTTP para los administradores del entorno de datos del titular de la tarjeta podría infringir el requisito de cifrar todo el acceso administrativo que no sea de consola mediante criptografía sólida.

PCI DSS 4.1 Utilice protocolos de seguridad y criptografía sólidos para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes públicas abiertas.

Si usa balanceadores de carga de aplicaciones con un agente de escucha HTTP, asegúrese de que el agente de escucha se redirija a HTTPS para cualquier transmisión de datos de titulares de tarjetas. Permitir transmisiones sin cifrar de los datos de los titulares de tarjetas podría infringir el requisito de utilizar protocolos de seguridad y criptografía sólidos para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes públicas abiertas.

Corrección

Para solucionar este problema, redirija la solicitud HTTP a HTTPS.

Para redirigir solicitudes HTTP a HTTPS en un Application Load Balancer

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, enEquilibrio de carga, eligeBalanceadores de carga.

  3. Seleccione un Application Load Balancer.

  4. ElegirAgentes de escucha.

  5. Seleccione la casilla de verificación de un agente de escucha HTTP (puerto 80 TCP) y, a continuación, elijaEditar.

  6. Si existe una regla, deberá eliminarla. En caso contrario, elijaAñadir accióny luegoRedirigir a....

  7. Elija HTTPS y, a continuación, escriba 443.

  8. Seleccione la marca de verificación dentro de un símbolo de círculo y, a continuación, elija Update (Actualizar).

[PCI.ES.1] Los dominios de Elasticsearch deben estar en una VPC

Gravedad: Critical

Tipo de recurso: AWS::Elasticsearch::Domain

Regla de AWS Config: elasticsearch-in-vpc-only

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba si los dominios de Elasticsearch de están en una VPC.

No evalúa la configuración de direccionamiento de subred de VPC para determinar la accesibilidad pública.

EsteAWStampoco comprueba si el OpenSearch La política basada en recursos de servicios de permite el acceso público a otras cuentas o entidades externas. Debe asegurarse de que los dominios de Elasticsearch no están asociados a subredes públicas. ConsultePolíticas basadas en recursosen laAmazon OpenSearch Guía para desarrolladores de servicios.

También debe asegurarse de que la VPC esté configurada de acuerdo con las prácticas recomendadas. ConsultePrácticas recomendadas de seguridad de la VPCen laAmazon VPC User Guide.

nota

Este control no es compatible en Asia-Pacífico (Osaka).

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 1.2.1: restrinja el tráfico entrante y saliente al que sea necesario para el entorno de datos del titular de la tarjeta (CDE) y deniegue específicamente todo el resto del tráfico.

Si las recetas OpenSearch Los grupos de servicios contienen datos de titulares de tarjetas, OpenSearch Los dominios de servicio deben colocarse en una VPC. Hacerlo permite una comunicación segura entre OpenSearch Servicios y los demás servicios dentro de la VPC sin necesidad de utilizar una gateway de Internet, un dispositivo NAT o un puerto de conexión de VPN.

Este método se utiliza para permitir solo el tráfico necesario hacia y desde el CDE.

PCI DSS 1.3.1: Implemente una DMZ para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

Si las recetas OpenSearch Los grupos de servicios contienen datos de titulares de tarjetas, OpenSearch Los dominios de servicio deben colocarse en una VPC. Hacerlo permite una comunicación segura entre OpenSearch Servicios y los demás servicios dentro de la VPC sin necesidad de utilizar una gateway de Internet, un dispositivo NAT o un puerto de conexión de VPN.

Este método se utiliza para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

TIPO TIPO TIPO 1.3.2: limite el tráfico entrante de Internet a direcciones IP dentro de la DMZ.

Si las recetas OpenSearch Los grupos de servicios contienen datos de titulares de tarjetas, OpenSearch Los dominios de servicio deben colocarse en una VPC, lo que permite la comunicación segura entre OpenSearch Servicios y los demás servicios dentro de la VPC sin necesidad de utilizar una gateway de Internet, un dispositivo NAT o un puerto de conexión de VPN.

Este método se utiliza para limitar el tráfico entrante de Internet a direcciones IP dentro de la DMZ.

También puede utilizar una política basada en recursos y especificar una condición IP para limitar el acceso en función de las direcciones IP de origen. Ver las publicaciones del blogCómo controlar el acceso a Amazon OpenSearch Dominio de servicio.

TIPO TIPO 1.3.4: No permita tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

Si las recetas OpenSearch Los grupos de servicios contienen datos de titulares de tarjetas, OpenSearch Los dominios de servicio deben colocarse en una VPC, lo que permite la comunicación segura entre OpenSearch Servicios y los demás servicios dentro de la VPC sin necesidad de utilizar una gateway de Internet, un dispositivo NAT o un puerto de conexión de VPN.

Este método se utiliza para bloquear el tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

TIPO TIPO 1.3.6: Coloque los componentes del sistema que almacenan datos del titular de la tarjeta (como una base de datos) en una zona de red interna, separada de la DMZ y otras redes que no sean de confianza.

Si las recetas OpenSearch Los grupos de servicios contienen datos de titulares de tarjetas, OpenSearch Los dominios de servicio deben colocarse en una VPC. Hacerlo permite una comunicación segura entre OpenSearch Servicios y los demás servicios dentro de la VPC sin necesidad de utilizar una gateway de Internet, un dispositivo NAT o un puerto de conexión de VPN.

Este método se utiliza para colocar componentes del sistema que almacenan datos del titular de la tarjeta en una zona de red interna, separada de la DMZ y otras redes que no sean de confianza.

Corrección

Si crea un dominio con un punto de enlace público, no podrá colocarlo posteriormente en una VPC. En lugar de ello, se debe crear un dominio nuevo y migrar los datos.

y viceversa. Si crea un dominio dentro de una VPC, no puede tener un punto de enlace público. En su lugar, debe crear otro dominio o deshabilitar este control.

ConsulteLanzar Amazon OpenSearch Dominios de servicio dentro de una VPCen laAmazon OpenSearch Guía para desarrolladores de servicios.

[PCI.ES.2] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

Gravedad: Media

Tipo de recurso: AWS::Elasticsearch::Domain

Regla de AWS Config: elasticsearch-encrypted-at-rest

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba si los dominios de Elasticsearch tienen habilitado el cifrado en reposo.

nota

Este control no es compatible en Asia-Pacífico (Osaka).

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 3.4: Haga que los números de cuenta principal (PAN) sean ilegibles en cualquier lugar donde se almacenen (incluidos medios digitales portátiles, medios de copia de seguridad y registros).

Si usa OpenSearch Servicio para almacenar los números de cuenta principal (PAN) de tarjetas de crédito, el PAN debería protegerse habilitando OpenSearch Cifrado de dominio de servicio en reposo.

Si está habilitada, cifra los siguientes aspectos de un dominio: Índices, instantáneas automatizadas, OpenSearch Registros de servicio, archivos de intercambio y todos los demás datos del directorio de aplicaciones.

Este es un método utilizado para hacer que PAN sea ilegible.

Corrección

De forma predeterminada, los dominios no cifran los datos en reposo y no puede configurar los dominios existentes para que utilicen la característica.

Para habilitar esta característica, debe crear otro dominio y migrar sus datos. Para obtener información sobre la creación de dominios, consulte laAmazon OpenSearch Guía para desarrolladores de servicios.

El cifrado de datos en reposo requiere OpenSearch Service 5.1 o posterior. Para obtener más información acerca del cifrado de datos en reposo para OpenSearch Servicio, consulte laAmazon OpenSearch Guía para desarrolladores de servicios.

[PCI].GuardDuty1. 1] GuardDuty debe estar habilitado

Gravedad: Alta

Tipo de recurso: AWScuenta

Regla de AWS Config: guardduty-enabled-centralized

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba si Amazon GuardDuty está habilitado en suAWScuenta y región.

WHILE GuardDuty puede ser eficaz contra los ataques que normalmente protegería un sistema de detección de intrusiones, puede que no sea una solución completa para todos los entornos. Esta regla tampoco comprueba la generación de alertas al personal. Para obtener más información acerca de GuardDuty, consulteAmazon GuardDuty Guía del usuario de.

nota

Este control no se admite en las siguientes regiones.

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • Europe (Milan)

  • Middle East (Bahrain)

  • AWS GovCloud (EE. UU. Este)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 11.4 Utilice técnicas de detección o prevención de intrusiones para detectar o evitar intrusiones en la red.

GuardDuty puede ayudar a cumplir con el requisito 11.4 mediante el monitoreo del tráfico en el perímetro del entorno de datos del titular de la tarjeta y todos los puntos críticos dentro de él. También puede mantener actualizados todos los motores de detección de intrusiones, las líneas de base y las firmas. Los hallazgos se generan a partir de GuardDuty. Puedes enviar estas alertas al personal de Amazon CloudWatch. ConsulteCrear respuestas personalizadas para GuardDuty hallazgos con Amazon CloudWatch Eventosen laAmazon GuardDuty Guía del usuario de. No habilitación GuardDuty en las 2AWSpodría infringir el requisito de utilizar técnicas de detección o prevención de intrusiones para evitar intrusiones en la red.

Corrección

Para solucionar este problema, habilite GuardDuty.

Para obtener más detalles sobre cómo habilitar GuardDuty, incluida la forma de usarAWS Organizationspara administrar varias cuentas, consulteIntroducción al GuardDutyen laAmazon GuardDuty Guía del usuario de.

[PCI.IAM.1] La clave de acceso de usuario raíz de IAM no debe existir

Gravedad: Critical

Tipo de recurso: AWScuenta

Regla de AWS Config: iam-root-access-key-check

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba si existen claves de acceso de usuario para el usuario raíz.

nota

Este control no está disponible en África (Ciudad del Cabo) ni Asia-Pacífico (Osaka).

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 2.1: Cambie siempre los valores predeterminados proporcionados por el proveedor y elimine o deshabilite las cuentas predeterminadas innecesarias antes de instalar un sistema en la red.

LaCuenta de AWSEl usuario raíz es el de con más privilegiosAWSusuario.AWSLas claves de acceso de ofrecen acceso mediante programación a una cuenta determinada.

No se deben crear claves de acceso para el usuario raíz, ya que esto puede infringir el requisito de eliminar o deshabilitar cuentas predeterminadas innecesarias.

PCI DSS 2.2 Desarrolle estándares de configuración para todos los componentes del sistema. Asegúrese de que estos estándares aborden todas las vulnerabilidades de seguridad conocidas y sean coherentes con los estándares de protección de sistemas aceptados por el sector.

El usuario raíz es el usuario de con más privilegiosAWSusuario.AWSLas claves de acceso de ofrecen acceso mediante programación a una cuenta determinada.

No se deben crear claves de acceso para el usuario raíz, ya que esto puede infringir el requisito de implementar configuraciones de protección de sistemas.

TIPO TIPO TIPO 7.2.1: establezca sistemas de control de acceso para los componentes del sistema que restrinja el acceso en función de la necesidad de datos del usuario y esté configurado en «denegar todo» a menos que se permita específicamente. Este sistema o sistemas de control de acceso deben incluir lo siguiente: Cobertura de todos los componentes del sistema.

El usuario raíz es el usuario de con más privilegiosAWSusuario.AWSLas claves de acceso de ofrecen acceso mediante programación a una cuenta determinada.

No se deben crear claves de acceso para el usuario raíz. Al hacerlo, podría infringir el requisito de garantizar que el acceso a los componentes del sistema se restrinja al mínimo privilegio necesario o a la necesidad de datos del usuario.

Corrección

Para eliminar la clave de acceso del usuario raíz, consulte.Eliminación de claves de acceso para el usuario raízen laIAM User Guide.

[PCI.IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

Gravedad: Baja

Tipo de recurso: AWS::IAM::User

Regla de AWS Config: iam-user-no-policies-check

Tipo de programación: Cambio activado

Parámetros: Ninguno

Este control comprueba que ninguno de los usuarios de IAM tenga políticas adjuntas. Los usuarios de IAM deben heredar los permisos de los grupos o roles de IAM.

No comprueba si las políticas de menos privilegios se aplican a grupos y roles de IAM.

nota

Los usuarios de IAM creados por Amazon Simple Email Service se crean automáticamente mediante políticas en línea. Security Hub exime automáticamente a estos usuarios de este control.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

TIPO TIPO TIPO 7.2.1: establezca sistemas de control de acceso para los componentes del sistema que restrinja el acceso en función de la necesidad de datos del usuario y esté configurado en «denegar todo» a menos que se permita específicamente. Este sistema o sistemas de control de acceso deben incluir lo siguiente: Cobertura de todos los componentes del sistema.

Las políticas de IAM son cómo se conceden los privilegios a los usuarios, grupos o roles deAWS.

De forma predeterminada, los usuarios, grupos y roles de IAM no tienen accesoAWSrecursos hasta que se adjunten políticas de IAM a ellos.

Para administrar el acceso con menos privilegios y reducir la complejidad de la administración de acceso para los recursos dentro del ámbito de PCI DSS, debe asignar políticas de IAM en el nivel de grupo o rol y no en el nivel de usuario.

La reducción de la complejidad de la administración del acceso reduce la oportunidad de que una entidad principal reciba o conserve accidentalmente excesivos privilegios.

Este es un método utilizado para garantizar que el acceso a los componentes del sistema que contienen datos del titular de la tarjeta esté restringido al mínimo privilegio necesario o a la necesidad de datos del usuario.

Corrección

Para solucionar este problema,crear un grupo de IAMy asocie la política al grupo. Luego,añadir los usuarios al grupo. La política se aplica a cada usuario del grupo. Para eliminar una política asociada directamente a un usuario, consulteAdición y eliminación de permisos de identidad de IAMen laIAM User Guide.

[PCI.IAM.3] Las políticas de IAM no deben permitir privilegios administrativos completos «*»

Gravedad: Alta

Tipo de recurso: AWS::IAM::Policy

Regla de AWS Config: iam-policy-no-statements-with-admin-access

Tipo de programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si la versión predeterminada de las políticas de AWS Identity and Access Management (también conocidas como políticas administradas por el cliente) no tiene acceso de administrador con una instrucción que tenga "Effect": "Allow" with "Action": "*" en "Resource": "*".

Solo comprueba las Políticas administradas por el cliente que ha creado, pero no comprueba el acceso completo a servicios individuales, como "S3:*".

No comprueba si hayen línea yAWSpolíticas administradas.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

TIPO TIPO TIPO 7.2.1: Establezca sistemas de control de acceso para los componentes del sistema que restrinja el acceso en función de la necesidad de datos del usuario y configúrelo para «denegar todo» a menos que se permita específicamente. Este sistema o sistemas de control de acceso deben incluir lo siguiente: Cobertura de todos los componentes del sistema.

Proporcionar privilegios administrativos completos en lugar de restringirse al mínimo requerido puede infringir el requisito de garantizar que el acceso a los componentes del sistema se limite al mínimo privilegio necesario o a la necesidad de datos de un usuario.

Corrección

Para modificar las políticas de IAM para que no permitan privilegios administrativos «*» completos, consulteEdición de políticas de IAMen laIAM User Guide.

[PCI.IAM.4] La MFA de hardware debe estar habilitada para el usuario raíz

Gravedad: Critical

Tipo de recurso: AWScuenta

Regla de AWS Config: root-account-hardware-mfa-enabled

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba siAWSestá habilitada para usar un dispositivo de hardware de Multi-Factor Authentication (MFA) para iniciar sesión con las credenciales de usuario raíz.

No comprueba si está utilizando MFA virtual.

Para cumplir con el requisito 8.3.1 de PCI DSS, puede elegir entre MFA de hardware (este control) o MFA virtual ([PCI.IAM.5] La MFA virtual debe estar habilitada para el usuario raíz).

Tanto los tokens de contraseña temporal de un solo uso (TOTP) como los tokens de segundo factor universal (U2F) son viables como opciones de MFA de hardware.

nota

Este control no se admite en las siguientes regiones.

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

TIPO TIPO TIPO TIPO TIPO: Incorpore la autenticación multifactor para todos los accesos que no sean de consola en el entorno de datos del titular de la tarjeta (CDE) para el personal con acceso administrativo.

El usuario raíz es el usuario con más privilegios de una cuenta.

La MFA aporta una capa adicional de protección además de un nombre de usuario y una contraseña. Si los usuarios con privilegios administrativos acceden al entorno de datos del titular de la tarjeta a través de una interfaz de red en lugar de a través de una conexión física directa al componente del sistema y no se encuentran físicamente frente a la máquina que están administrando, se requiere MFA.

Habilitar la MFA de hardware es un método utilizado para incorporar la Multi-factor Authentication (MFA) para todos los accesos administrativos que no sean

Corrección

Para añadir un dispositivo MFA hardware para el usuario raíz, consulteHabilite un dispositivo MFA físico paraAWSusuario raíz de la cuenta de (consola)en laIAM User Guide.

[PCI.IAM.5] La MFA virtual debe estar habilitada para el usuario raíz

Gravedad: Critical

Tipo de recurso: AWScuenta

Regla de AWS Config: root-account-mfa-enabled

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba si los usuarios deAWSrequiere un dispositivo de Multi-factor Authentication (MFA) para iniciar sesión con credenciales de usuario raíz.

No comprueba si está utilizando MFA de hardware.

Para cumplir con el requisito 8.3.1 de PCI DSS, puede elegir entre MFA virtual (este control) o MFA de hardware ([PCI.IAM.4] La MFA de hardware debe estar habilitada para el usuario raíz).

nota

Este control no se admite en las siguientes regiones.

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

TIPO TIPO TIPO TIPO TIPO: Incorpore la autenticación multifactor para todos los accesos que no sean de consola en el entorno de datos del titular de la tarjeta (CDE) para el personal con acceso administrativo.

El usuario raíz es el usuario con más privilegios de una cuenta.

La MFA aporta una capa adicional de protección además de un nombre de usuario y una contraseña. Si los usuarios con privilegios administrativos acceden al entorno de datos del titular de la tarjeta y no se encuentran físicamente frente al equipo que están administrando, se requiere MFA.

Habilitar la MFA virtual es un método utilizado para incorporar la Multi-factor Authentication (MFA) para todos los accesos administrativos que no sean de consola

Corrección

Para añadir MFA virtual para el usuario root, consulteHabilite un dispositivo MFA virtual para suAWSusuario raíz de la cuenta de (consola)en laIAM User Guide.

[PCI.IAM.6] MFA debe estar habilitada para todos los usuarios de IAM

Gravedad: Media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config: iam-user-mfa-enabled

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba si los usuarios de IAM tienen habilitada la Multi-Factor Authentication (MFA).

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

TIPO TIPO TIPO TIPO TIPO: Incorpore la autenticación multifactor para todos los accesos que no sean de consola en el entorno de datos del titular de la tarjeta (CDE) para el personal con acceso administrativo.

Habilitar MFA para todos los usuarios de IAM es un método utilizado para incorporar la Multi-factor Authentication (MFA) para todos los accesos administrativos que no sean de consola.

Corrección

Para añadir MFA para los usuarios de IAM, consulteUso de autenticación multifactor (MFA) enAWSen laIAM User Guide.

[PCI.IAM.7] Las credenciales de usuario de IAM deben deshabilitarse si no se utilizan dentro de un número de días predefinido

Gravedad: Media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config: iam-user-unused-credentials-check

Tipo de programación: Periódico

Parámetros:

  • maxCredentialUsageAge: 90 (días)

Este control comprueba si sus usuarios de IAM tienen contraseñas o claves de acceso activas que no se han utilizado en un número de días específico. El valor predeterminado es 90 días.

Security Hub recomienda encarecidamente que no genere y elimine todas las claves de acceso de la cuenta. En su lugar, la práctica recomendada es crear uno o más roles de IAM o utilizarfederación. Estas prácticas permiten a los usuarios utilizar sus credenciales corporativas existentes para iniciar sesión en elAWS Management ConsoleConsola yAWS CLI.

Cada enfoque tiene sus casos de uso. La federación es generalmente mejor para las empresas que tienen un directorio central o prevén que van a necesitar más que la cuota actual de usuarios de IAM. Las aplicaciones que se ejecutan fuera de un entorno de AWS necesitan claves de acceso para el acceso programático a los recursos de AWS.

Sin embargo, si los recursos que necesitan acceso programático se ejecutan dentro AWS, la práctica recomendada es usar roles de IAM. Puede utilizar funciones para conceder acceso a un recurso sin codificar de forma rígida un ID de clave de acceso y una clave de acceso secreta en la configuración.

Para obtener más información acerca de la protección de las claves de acceso y la cuenta, consultePrácticas recomendadas para administrarAWSclaves de accesoen laAWSReferencia general de. Consulte también las publicaciones del blogDirectrices para proteger suAWScuenta mientras se usa el acceso programático.

Si ya tiene una clave de acceso, le recomendamos que elimine o desactive las credenciales de usuario no utilizadas que estén inactivas durante 90 días o más.

Este control solo comprueba si hay contraseñas inactivas o claves de acceso activas. No deshabilita el uso de la cuenta después de 90 días. Los clientes son responsables de tomar medidas y deshabilitar las credenciales no utilizadas.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS.

PCI DSS 8.1.4 Eliminar/desactivar cuentas de usuarios inactivos en un plazo de 90 días.

Si usa contraseñas o claves de acceso de IAM, asegúrese de que estén supervisadas para su uso y deshabilitadas si no se utilizan durante 90 días. Permitir que las cuentas de usuario de IAM permanezcan activas con credenciales no utilizadas podría infringir el requisito de eliminar o deshabilitar las cuentas de usuario inactivas en un plazo de 90 días.

Corrección

Para obtener parte de la información que necesita para monitorizar si las credenciales de las cuentas no se han usado en mucho tiempo, utilice la consola de IAM. Por ejemplo, cuando ve los usuarios de su cuenta, hay columnas paraAntigüedad de acceso,Antigüedad de, yÚltima actividad. Si el valor en cualquiera de estas columnas es superior a 90 días, desactive las credenciales de esos usuarios.

También puede utilizar los informes de credenciales para monitorizar las cuentas de los usuarios e identificar la que no tienen actividad durante 90 días o más. Puede descargar los informes de credenciales en.csvformateo desde la consola de IAM. Para obtener más información acerca de los informes de credenciales de, consulteObtención de informes de credenciales paraAWScuentaen laIAM User Guide.

Después de identificar las cuentas inactivas o las credenciales no utilizadas, realice los siguientes pasos para deshabilitarlas.

Para deshabilitar las cuentas inactivas o las credenciales de IAM no utilizadas

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. UNAdministración de accesos, eligeUsuarios de.

  3. Elija el nombre del usuario que tiene credenciales de más de 90 días de antigüedad.

  4. Elija Security Credentials (Credenciales de seguridad). ElegirMake Inactivepara todas las credenciales de inicio de sesión y claves de acceso que no se hayan utilizado en 90 días o más.

[PCI.IAM.8] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras

Gravedad: Media

Tipo de recurso: AWScuenta

Regla de AWS Config: iam-password-policy

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba si la política de contraseñas de cuenta para usuarios de IAM utiliza las siguientes configuraciones PCI DSS mínimas.

  • RequireUppercaseCharacters— Requiere que al menos haya un carácter en mayúscula en la contraseña (Valor predeterminado = true)

  • RequireLowercaseCharacters— Requiere que al menos haya un carácter en minúscula en la contraseña (Valor predeterminado = true)

  • RequireNumbers— Requiere que al menos haya un número en la contraseña. (Valor predeterminado = true)

  • MinimumPasswordLength— Longitud mínima de la contraseña. (Predeterminado = 7 o más)

  • PasswordReusePrevention— Número de contraseñas antes de que se permita reutilizarlas. (Predeterminado = 4)

  • MaxPasswordAge — Número de días antes de la contraseña venza. (Predeterminado = 90)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS.

PCI DSS 8.1.4: Eliminar/desactivar las cuentas de usuario inactivas en un plazo de 90 días.

Si tiene usuarios de IAM en suAWS, debe configurar la directiva de contraseñas de IAM de forma adecuada. No proteger las contraseñas de los usuarios de IAM podría infringir el requisito de eliminar o deshabilitar las cuentas de usuario inactivas en un plazo de 90 días De forma predeterminada, el dispositivoMaxPasswordAgese establece en 90 días. Cuando caduca la contraseña, los usuarios de IAM no pueden acceder a su cuenta hasta que se cambie la contraseña, lo que deshabilita al usuario.

TIPO TIPO TIPO 8.2.3: Las contraseñas y frases de contraseña deben cumplir lo siguiente: Exigir una longitud mínima de al menos siete caracteres y contener caracteres numéricos y alfabéticos.

Si tiene usuarios de IAM en suAWS, la política de contraseñas de IAM debe configurarse correctamente. No proteger las contraseñas de los usuarios de IAM podría infringir el requisito de que una contraseña tenga una longitud mínima de al menos siete caracteres. También podría infringir los requisitos de contener caracteres numéricos y alfabéticos. Por defecto,MinimumPasswordLengthes7,RequireUppercaseCharactersestrue, yRequireLowercaseCharactersestrue.

TIPO TIPO TIPO 8.2.4: Cambie las contraseñas o frases de contraseña de los usuarios al menos una vez cada 90 días.

Si tiene usuarios de IAM en suAWS, la política de contraseñas de IAM debe configurarse correctamente. No proteger las contraseñas de los usuarios de IAM podría infringir el requisito de cambiar las contraseñas o frases de contraseña de los usuarios al menos una vez cada 90 días. De forma predeterminada, el dispositivoMaxPasswordAgese establece en 90 días. Cuando la contraseña caduca, el usuario de IAM no puede acceder a la cuenta hasta que se cambie la contraseña.

TIPO TIPO TIPO TIPO 8.2.5: No permita que una persona envíe una nueva contraseña o frase de contraseña que sea igual a cualquiera de las cuatro últimas contraseñas o frases de contraseña que haya utilizado.

Si tiene usuarios de IAM en suAWS, la política de contraseñas de IAM debe configurarse correctamente. No proteger las contraseñas de los usuarios de IAM podría infringir el requisito de no permitir que las personas envíen una nueva contraseña o frase de contraseña que sea igual a cualquiera de sus cuatro contraseñas o frases de contraseña anteriores. Por defecto,PasswordReusePreventiontoma el valor4, lo que impide que los usuarios reutilicen sus últimas cuatro contraseñas.

Corrección

Para actualizar la política de contraseñas para usar la configuración recomendada, consulteConfiguración de una política de contraseñas de la cuenta para usuarios de IAMen laIAM User Guide.

[PCI.KMS.1] La rotación de claves KMS debe estar habilitada

Gravedad: Media

Tipo de recurso: AWS::KMS::Key

Regla de AWS Config: cmk-backing-key-rotation-enabled

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba que la rotación de claves esté habilitada para cada clave de KMS. No comprueba las claves de KMS que tienen material clave importado.

Debe asegurarse de que las claves que tienen material importado y las que no están almacenadas enAWS KMSse rotan.Claves administradas por AWSse rotan una vez cada 3 años.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 3.6.4: Las claves criptográficas se deben cambiar una vez que hayan alcanzado el final de su período criptográfico.

Aunque PCI DSS no especifica el período de tiempo para los períodos criptográficos, si la rotación de claves está habilitada, la rotación se produce anualmente de forma predeterminada.

Si utiliza una clave de KMS para cifrar los datos del titular de la tarjeta, debe habilitar la rotación de claves.

Este es un método utilizado para cambiar las claves criptográficas una vez que han llegado al final de su período criptográfico.

Corrección

Para habilitar la rotación de claves KMS

  1. Abra la consola de AWS KMS en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. Elija Customer managed keys (Claves administradas por el cliente).

  4. Elija el alias de la clave que va a actualizar en la columna Alias.

  5. Elija Key rotación (Rotación de clave).

  6. SelectRotar esta clave KMS cada año de forma automáticay luegoGuardar.

[PCI.lambda.1] Las funciones de lambda deberían prohibir el acceso público

Gravedad: Critical

Tipo de recurso: AWS::Lambda::Function

Regla de AWS Config: lambda-function-public-access-prohibited

Tipo de programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si la política basada en recursos de la función de Lambda prohíbe el acceso público.

No comprueba si las entidades principales internas tienen acceso a la función de Lambda, como los roles de IAM. Debe asegurarse de que el acceso a la función de Lambda esté restringido a los principales autorizados solo mediante el uso de políticas basadas en recursos de Lambda de con menos privilegios.

Para obtener más información acerca del uso de políticas basadas en recursos paraAWS Lambda, consulte elAWS LambdaGuía para desarrolladores.

nota

Este control no se admite en las siguientes regiones.

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 1.2.1: restrinja el tráfico entrante y saliente al que sea necesario para el entorno de datos del titular de la tarjeta (CDE) y deniegue específicamente todo el resto del tráfico.

Si utiliza una función Lambda que está dentro del ámbito de PCI DSS, la función no debe tener acceso público. Una función de acceso público podría infringir el requisito de permitir solo el tráfico necesario hacia y desde el CDE.

PCI DSS 1.3.1: Implemente una DMZ para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

Si utiliza una función Lambda que está dentro del ámbito de PCI DSS, la función no debe tener acceso público. Una función de acceso público podría infringir el requisito de limitar el tráfico entrante a solo componentes del sistema que proporcionen servicios, protocolos y puertos de acceso público autorizado.

TIPO TIPO TIPO 1.3.2: limite el tráfico entrante de Internet a direcciones IP dentro de la DMZ.

Si utiliza una función Lambda que está dentro del ámbito de PCI DSS, la función no debe tener acceso público. Una función con acceso público podría infringir el requisito de limitar el tráfico entrante de Internet a direcciones IP dentro de la DMZ.

TIPO TIPO 1.3.4: No permita tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

Si utiliza una función Lambda que está dentro del ámbito de PCI DSS, la función no debe tener acceso público. Una función con acceso público podría infringir el requisito de bloquear el tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

TIPO TIPO TIPO 7.2.1: establezca sistemas de control de acceso para los componentes del sistema que restrinja el acceso en función de la necesidad de datos del usuario y esté configurado en «denegar todo» a menos que se permita específicamente. Este sistema o sistemas de control de acceso deben incluir lo siguiente: Cobertura de todos los componentes del sistema.

Si utiliza una función Lambda que está dentro del ámbito de PCI DSS, la función no debe tener acceso público. Una función con acceso público podría infringir el requisito de garantizar que el acceso a los componentes de los sistemas que contienen datos del titular de la tarjeta se restrinja al mínimo privilegio necesario o a la necesidad de datos del usuario.

Corrección

Para solucionar este problema, actualice la política basada en recursos para cambiar la función de Lambda de acceso público a una función de Lambda privada.

Solo puede actualizar políticas basadas en recursos para recursos de Lambda en el ámbito deAddPermissionyAddLayerVersionPermissionAcciones de la API.

No puede crear políticas para los recursos de Lambda en JSON ni utilizar condiciones que no se correspondan con los parámetros de estas acciones mediante la CLI o el SDK.

Para utilizar elAWS CLIpara revocar el permiso de uso de funciones de unAWSservicio u otra cuenta

  1. Para obtener el ID de la instrucción de la salida de GetPolicy, de la AWS CLI, ejecute lo siguiente:

    aws lambda get-policy --function-name yourfunctionname

    Este comando devuelve la cadena de política basada en recursos Lambda asociada a la función Lambda de acceso público.

  2. En la instrucción de política devuelta por el comando get-policy, copie el valor de cadena del campo Sid.

  3. Desde la AWS CLI, ejecute

    aws lambda remove-permission --function-name yourfunctionname —statement-id youridvalue

Para usar la consola de Lambda para restringir el acceso a la función de Lambda

  1. Abra la consola de AWS Lambda en https://console.aws.amazon.com/lambda/.

  2. Vaya aFuncionesy, a continuación, seleccione su función Lambda con acceso público.

  3. En Designer (Diseñador), elija el icono de llave en la parte superior izquierda. Tiene la información sobre herramientas View permissions (Ver permisos).

  4. En Function policy (Política de función), si la política permite acciones para el elemento principal “*” o {“AWS”: “*”}, es accesible públicamente.

    Plantéese agregar la siguiente condición de IAM para ampliar el acceso a su cuenta solamente.

    "Condition": { "StringEquals": { "AWS:SourceAccount": "<account_id>" } } }

Para ver otros ejemplos de políticas basadas en recursos de Lambda que le permiten conceder permisos de uso a otras cuentas por recurso, consulte la información sobre el uso de políticas basadas en recursos paraAWS Lambdaen laAWS LambdaGuía para desarrolladores.

[PCI.lambda.2] Las funciones de Lambda deben estar en una VPC

Gravedad: Baja

Tipo de recurso: AWS::Lambda::Function

Regla de AWS Config: lambda-inside-vpc

Tipo de programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si una función Lambda de está en una VPC. Es posible que vea resultados fallidos para los recursos de Lambda @Edge.

No evalúa la configuración de direccionamiento de subred de VPC para determinar la accesibilidad pública.

nota

Este control no se admite en las siguientes regiones.

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 1.2.1: restrinja el tráfico entrante y saliente al que sea necesario para el entorno de datos del titular de la tarjeta (CDE) y deniegue específicamente todo el resto del tráfico.

De forma predeterminada, Lambda ejecuta las funciones en una VPC segura con acceso aAWSservicios e internet.

Si utiliza una función Lambda que está dentro del ámbito de PCI DSS, la función se puede configurar para utilizar un punto de enlace de la VPC. Esto le permitiría conectarse a su función de Lambda desde dentro de una VPC sin acceso a Internet. Este método se utiliza para permitir solo el tráfico necesario hacia y desde el CDE.

PCI DSS 1.3.1: Implemente una DMZ para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

De forma predeterminada, Lambda ejecuta las funciones en una VPC segura con acceso aAWSservicios e internet.

Si utiliza una función Lambda que está dentro del ámbito de PCI DSS, la función se puede configurar para utilizar un punto de enlace de la VPC. Esto le permite conectarse a la función de Lambda desde dentro de una VPC sin acceso a Internet. Este es un método que se utiliza para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

TIPO TIPO TIPO 1.3.2: limite el tráfico entrante de Internet a direcciones IP dentro de la DMZ.

De forma predeterminada, Lambda ejecuta las funciones en una VPC segura con acceso aAWSservicios e internet.

Si utiliza una función Lambda que está dentro del ámbito de PCI DSS, la función se puede configurar para utilizar un punto de enlace de la VPC. Esto le permite conectarse a la función de Lambda desde dentro de una VPC sin acceso a Internet. Este es un método utilizado para limitar el tráfico entrante de Internet a direcciones IP dentro de la DMZ.

TIPO TIPO 1.3.4: No permita tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

De forma predeterminada, Lambda ejecuta las funciones en una VPC segura con acceso aAWSservicios e internet.

Si utiliza una función Lambda que está dentro del ámbito de PCI DSS, la función se puede configurar para utilizar un punto de enlace de la VPC. Esto le permite conectarse a la función de Lambda desde dentro de una VPC sin acceso a Internet. Este es un método utilizado para bloquear el tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

Corrección

Para configurar una función para conectarse a subredes privadas en una Virtual Private Cloud (VPC) en su cuenta.

  1. Abra la consola de AWS Lambda en https://console.aws.amazon.com/lambda/.

  2. Vaya aFuncionesy, a continuación, seleccione la función de Lambda.

  3. Desplácese hasta Network (Red) y seleccione una VPC con los requisitos de conectividad de la función.

  4. Para ejecutar sus funciones en modo de alta disponibilidad, Security Hub recomienda que elija al menos dos subredes.

  5. Elija al menos un grupo de seguridad con los requisitos de conectividad de la función de.

  6. Seleccione Save (Guardar).

Para obtener más información, consulte la sección sobre cómo configurar una función Lambda para acceder a recursos en una VPC en laAWS LambdaGuía para desarrolladores.

[PCI].OpenSearch.1] Amazon OpenSearch Los dominios de servicio de deben estar en una VPC

Categoría: Proteger > Configuración de red segura > Recursos dentro de VPC

Gravedad: Media

Tipo de recurso: AWS::OpenSearch::Domain

Regla de AWS Config: opensearch-in-vpc-only

Tipo de programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si OpenSearch los dominios de están en una VPC. No evalúa la configuración de direccionamiento de subred de VPC para determinar el acceso público.

Debe asegurarse de que OpenSearch los dominios de no están asociados a subredes públicas. ConsultePolíticas basadas en recursosen Amazon OpenSearch Guía para desarrolladores de servicios de.

También debe asegurarse de que la VPC esté configurada de acuerdo con las prácticas recomendadas. ConsultePrácticas recomendadas de seguridad de la VPCen la Guía del usuario de Amazon VPC.

OpenSearch los dominios implementados dentro de una VPC pueden comunicarse con los recursos de la VPC a través deAWSred, sin necesidad de atravesar la Internet pública. Esta configuración aumenta la postura de seguridad al limitar el acceso a los datos en tránsito. Las VPC proporcionan una serie de controles de red para proteger el acceso a OpenSearch dominios, incluidos los grupos de seguridad y ACL de red. Security Hub recomienda migrar de forma pública OpenSearch dominios a VPC para aprovechar estos controles.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 1.2.1: restrinja el tráfico entrante y saliente al que sea necesario para el entorno de datos del titular de la tarjeta (CDE) y deniegue específicamente todo el resto del tráfico.

Si sus clústeres de Amazon ES contienen datos de titulares de tarjetas, los dominios de Amazon ES deben colocarse en una VPC. Al hacerlo, se consigue una comunicación segura entre Amazon ES y los demás servicios dentro de la VPC sin necesidad de utilizar una gateway de Internet, un dispositivo NAT o un puerto de conexión de VPN.

Este método se utiliza para permitir solo el tráfico necesario hacia y desde el CDE.

PCI DSS 1.3.1: Implemente una DMZ para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

Si sus clústeres de Amazon ES contienen datos de titulares de tarjetas, los dominios de Amazon ES deben colocarse en una VPC. Al hacerlo, se consigue una comunicación segura entre Amazon ES y los demás servicios dentro de la VPC sin necesidad de utilizar una gateway de Internet, un dispositivo NAT o un puerto de conexión de VPN.

Este método se utiliza para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

TIPO TIPO TIPO 1.3.2: limite el tráfico entrante de Internet a direcciones IP dentro de la DMZ.

Si tu Amazon OpenSearch Los grupos de servicios contienen datos de titulares de tarjetas, Amazon OpenSearch Los dominios de servicio deben colocarse en una VPC, lo que permite una comunicación segura entre Amazon OpenSearch Servicios y los demás servicios dentro de la VPC sin necesidad de utilizar una gateway de Internet, un dispositivo NAT o un puerto de conexión de VPN.

Este método se utiliza para limitar el tráfico entrante de Internet a direcciones IP dentro de la DMZ.

También puede utilizar una política basada en recursos y especificar una condición IP para limitar el acceso en función de las direcciones IP de origen. Ver las publicaciones del blogCómo controlar el acceso a su dominio de Amazon Elasticsearch Service.

TIPO TIPO 1.3.4: No permita tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

Si los clústeres de Amazon ES contienen datos del titular de la tarjeta, los dominios de Amazon ES deben colocarse en una VPC, lo que permite la comunicación segura entre Amazon ES y otros servicios dentro de la VPC sin necesidad de una gateway de Internet, un dispositivo NAT o un puerto de conexión de VPN.

Este método se utiliza para bloquear el tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

TIPO TIPO 1.3.6: Coloque los componentes del sistema que almacenan datos del titular de la tarjeta (como una base de datos) en una zona de red interna, separada de la DMZ y otras redes que no sean de confianza.

Si sus clústeres de Amazon ES contienen datos de titulares de tarjetas, los dominios de Amazon ES deben colocarse en una VPC. Esto permite la comunicación segura entre Amazon ES y los demás servicios dentro de la VPC sin necesidad de utilizar una gateway de Internet, un dispositivo NAT o un puerto de conexión de VPN.

Este método se utiliza para colocar componentes del sistema que almacenan datos del titular de la tarjeta en una zona de red interna, separada de la DMZ y otras redes que no sean de confianza.

Corrección

Si crea un dominio con un punto de enlace público, no podrá colocarlo posteriormente en una VPC. En lugar de ello, se debe crear un dominio nuevo y migrar los datos. y viceversa. Si crea un dominio dentro de una VPC, no puede tener un punto de enlace público. En su lugar, debe crear otro dominio o deshabilitar este control.

ConsulteLanzar Amazon OpenSearch Dominios de servicio dentro de una VPCen Amazon OpenSearch Guía para desarrolladores de servicios de.

[PCI].OpenSearch2. 2] OpenSearch los dominios de deben tener habilitado el cifrado en reposo

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Gravedad: Media

Tipo de recurso: AWS::OpenSearch::Domain

Regla de AWS Config: opensearch-encrypted-at-rest

Tipo de programación Cambio activado

Parámetros: Ninguno

Este control comprueba si Amazon OpenSearch los dominios tienen encryption-at-rest configuración habilitada. La comprobación falla si el cifrado en reposo no está habilitado.

Para una capa adicional de seguridad para sus datos confidenciales en OpenSearch, debes configurar tu OpenSearch dominio que se va a cifrar en reposo. OpenSearch ofrecen el cifrado de datos en reposo. La funcionalidad utiliza AWS KMS para almacenar y administrar las claves de cifrado. Para realizar el cifrado, utiliza el algoritmo Estándar de cifrado avanzado con claves de 256 bits (AES-256).

Para obtener más información OpenSearch cifrado en reposo, consulteCifrado de datos en reposo para Amazon OpenSearch Service (Servicio)en Amazon OpenSearch Guía para desarrolladores de servicios de.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 3.4: Haga que los números de cuenta principal (PAN) sean ilegibles en cualquier lugar donde se almacenen (incluidos medios digitales portátiles, medios de copia de seguridad y registros).

Si utilizas Amazon OpenSearch Servicio para almacenar los números de cuenta principal (PAN) de tarjetas de crédito, el PAN debería protegerse habilitando Amazon OpenSearch Cifrado de dominio de servicio en reposo.

Si está habilitada, cifra los siguientes aspectos de un dominio: Índices, instantáneas automatizadas, Amazon OpenSearch Registros de servicio, archivos de intercambio y todos los demás datos del directorio de aplicaciones.

Este es un método utilizado para hacer que PAN sea ilegible.

Corrección

De forma predeterminada, los dominios no cifran los datos en reposo y no puede configurar los dominios existentes para que utilicen la característica. Para habilitar esta característica, debe crear otro dominio y migrar sus datos.

Para obtener información sobre la creación de dominios, consulteCreación y administración de Amazon OpenSearch Dominios de servicioen Amazon OpenSearch Guía para desarrolladores de servicios de.

ConsulteLanzar Amazon OpenSearch Dominios de servicio dentro de una VPCen Amazon OpenSearch Guía para desarrolladores de servicios de.

[PCI.RDS.1] Las instantáneas de Amazon RDS deberían prohibir el acceso público

Gravedad: Critical

Tipo de recurso recurso recurso AWS::RDS::DBSnapshot

Regla de AWS Config: rds-snapshots-public-prohibited

Tipo de programación Cambio activado

Parámetros: Ninguno

Este control comprueba si las instantáneas de base de datos de Amazon RDS prohíben el acceso de otras cuentas. También debe asegurarse de que el acceso a la instantánea y el permiso para cambiar la configuración de Amazon RDS estén restringidos únicamente a entidades principales autorizadas.

Para obtener más información acerca del uso compartido de instantáneas de base de datos en Amazon RDS, consulte laGuía del usuario de Amazon RDS.

Tenga en cuenta que si se cambia la configuración para permitir el acceso público, es posible que la regla de AWS Config no pueda detectar el cambio durante un máximo de 12 horas. Hasta que la regla de AWS Config detecte el cambio, la comprobación se superará aunque la configuración infrinja la regla.

nota

Este control no se admite en las siguientes regiones.

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 1.2.1: restrinja el tráfico entrante y saliente al que sea necesario para el entorno de datos del titular de la tarjeta (CDE) y deniegue específicamente todo el resto del tráfico.

Las instantáneas de RDS se utilizan para realizar copias de seguridad de los datos de las instancias de RDS en un momento determinado. Se pueden utilizar para restaurar estados anteriores de instancias de RDS.

Si una instantánea de RDS almacena datos del titular de la tarjeta, la instantánea de RDS no la deben compartir otras cuentas. Compartir la instantánea de RDS permitiría a otras cuentas restaurar una instancia de RDS a partir de la instantánea. Permitir esto podría infringir el requisito de permitir solo el tráfico necesario hacia y desde el CDE.

PCI DSS 1.3.1: Implemente una DMZ para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

Las instantáneas de RDS se utilizan para realizar copias de seguridad de los datos de las instancias de RDS en un momento determinado. Se pueden utilizar para restaurar estados anteriores de instancias de RDS.

Si una instantánea de RDS almacena datos del titular de la tarjeta, la instantánea de RDS no la deben compartir otras cuentas. Compartir la instantánea de RDS permitiría a otras cuentas restaurar una instancia de RDS a partir de la instantánea. Permitir esto podría infringir el requisito de limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

PCI DSS 1.3.4: No permita tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

Las instantáneas de RDS se utilizan para realizar copias de seguridad de los datos de las instancias de RDS en un momento determinado. Se pueden utilizar para restaurar estados anteriores de instancias de RDS.

Si una instantánea de RDS almacena datos del titular de la tarjeta, la instantánea de RDS no la deben compartir otras cuentas. Compartir la instantánea de RDS permitiría a otras cuentas restaurar una instancia de RDS a partir de la instantánea. Permitir esto podría infringir el requisito de bloquear el tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

PCI DSS 1.3.6: Coloque los componentes del sistema que almacenan datos del titular de la tarjeta (como una base de datos) en una zona de red interna, separada de la DMZ y otras redes que no sean de confianza.

Las instantáneas de RDS se utilizan para realizar copias de seguridad de los datos de las instancias de RDS en un momento determinado. Se pueden utilizar para restaurar estados anteriores de instancias de RDS.

Si una instantánea de RDS almacena datos del titular de la tarjeta, la instantánea de RDS no la deben compartir otras cuentas. Compartir la instantánea de RDS permitiría a otras cuentas restaurar una instancia de RDS a partir de la instantánea. Permitir esto podría infringir el requisito de colocar componentes del sistema que almacenan datos del titular de la tarjeta en una zona de red interna, separada de la DMZ y de otras redes que no sean de confianza.

PCI DSS 7.2.1: establezca sistemas de control de acceso para los componentes del sistema que restrinja el acceso en función de la necesidad de datos del usuario y esté configurado en «denegar todo» a menos que se permita específicamente. Este sistema o sistemas de control de acceso deben incluir lo siguiente: Cobertura de todos los componentes del sistema.

Las instantáneas de RDS se utilizan para realizar copias de seguridad de los datos de las instancias de RDS en un momento determinado. Se pueden utilizar para restaurar estados anteriores de instancias de RDS.

Si una instantánea de RDS almacena datos del titular de la tarjeta, la instantánea de RDS no la deben compartir otras cuentas. Compartir la instantánea de RDS permitiría a otras cuentas restaurar una instancia de RDS a partir de la instantánea. Permitir esto podría infringir el requisito de garantizar que el acceso a los componentes del sistema que contienen datos del titular de la tarjeta esté restringido al mínimo privilegio necesario o a la necesidad de datos del usuario.

Corrección

Para eliminar el acceso público de las instantáneas de Amazon RDS

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. Acceda a Snapshots (Instantáneas) y, a continuación, seleccione la instantánea pública que desea modificar

  3. En la lista Actions (Acciones), elija Share Snapshots (Compartir instantáneas)

  4. En DB snapshot visibility (Visibilidad de instantánea de base de datos), elija Private (Privada)

  5. En DB snapshot visibility (Visibilidad de instantánea de base de datos), seleccione for all (para todos)

  6. Seleccione Guardar

[PCI.RDS.2] Las instancias de base de datos de Amazon RDS deben prohibir el acceso público, en función de PubliclyAccessible configuración

Gravedad: Critical

Tipo de recurso recurso recurso AWS::RDS::DBInstance

Regla de AWS Config: rds-instance-public-access-check

Tipo de programación Cambio activado

Parámetros: Ninguno

Este control comprueba si las instancias de RDS son accesibles públicamente mediante la evaluación del campo publiclyAccessible en el elemento de configuración de instancia. El valor de publiclyAccessible indica si la instancia de base de datos es accesible públicamente. Cuando la instancia de base de datos es accesible públicamente, se trata de una instancia orientada a Internet con un nombre DNS que se puede resolver públicamente, que se resuelve en una dirección IP pública. Cuando la instancia de base de datos no es accesible públicamente, se trata de una instancia interna con un nombre DNS que se resuelve en una dirección IP privada.

El control no comprueba la configuración de enrutamiento de subred de VPC ni las reglas de grupo de seguridad. También debe asegurarse de que el enrutamiento de subred de VPC no permita el acceso público y de que la regla de entrada del grupo de seguridad asociada a la instancia de RDS no permita el acceso sin restricciones (0.0.0.0/0). También debe asegurarse de que el acceso a la configuración de la instancia de RDS se limite únicamente a los usuarios autorizados restringiendo los permisos de IAM de los usuarios para modificar la configuración y los recursos de las instancias de RDS.

Para obtener más información, consulteCómo ocultar una instancia de base de datos en una VPC desde Internet.en laGuía del usuario de Amazon RDS.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 1.2.1: restrinja el tráfico entrante y saliente al que sea necesario para el entorno de datos del titular de la tarjeta (CDE) y deniegue específicamente todo el resto del tráfico.

Si utiliza una instancia de RDS que está dentro del ámbito de PCI DSS, la instancia de RDS no debe tener acceso público. Permitir esto podría infringir el requisito de permitir solo el tráfico necesario hacia y desde el CDE.

PCI DSS 1.3.1: Implemente una DMZ para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

Si utiliza una instancia de RDS para almacenar datos del titular de la tarjeta, la instancia de RDS no debe tener acceso público. Permitir esto podría infringir el requisito de limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

PCI DSS 1.3.2: limite el tráfico entrante de Internet a direcciones IP dentro de la DMZ.

Si utiliza una instancia de RDS para almacenar datos del titular de la tarjeta, la instancia de RDS no debe ser accesible públicamente, ya que esto podría infringir el requisito de limitar el tráfico entrante de Internet a las direcciones IP dentro de la DMZ.

PCI DSS 1.3.4: No permita tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

Si utiliza una instancia de RDS para almacenar datos del titular de la tarjeta, la instancia de RDS no debe tener acceso público. Permitir esto podría infringir el requisito de bloquear el tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

PCI DSS 1.3.6: Coloque los componentes del sistema que almacenan datos del titular de la tarjeta (como una base de datos) en una zona de red interna, separada de la DMZ y otras redes que no sean de confianza.

Si utiliza una instancia de RDS para almacenar datos del titular de la tarjeta, la instancia de RDS no debe tener acceso público. Permitir esto puede infringir el requisito de colocar componentes del sistema que almacenan datos del titular de la tarjeta en una zona de red interna, separada de la DMZ y de otras redes que no sean de confianza.

PCI DSS 7.2.1: establezca sistemas de control de acceso para los componentes del sistema que restrinja el acceso en función de la necesidad de datos del usuario y esté configurado en «denegar todo» a menos que se permita específicamente. Este sistema o sistemas de control de acceso deben incluir lo siguiente: Cobertura de todos los componentes del sistema.

Si utiliza una instancia de RDS para almacenar datos del titular de la tarjeta, la instancia de RDS no debe ser accesible públicamente, ya que esto puede infringir el requisito de garantizar que el acceso a los componentes del sistema que contienen datos del titular de la tarjeta se restrinja al mínimo privilegio necesario o a la necesidad de datos del usuario.

Corrección

Para eliminar el acceso público de las bases de datos de Amazon

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. Acceda a Databases (Bases de datos) y, a continuación, elija su base de datos pública.

  3. Elija Modify (Modificar).

  4. Scroll toRed y seguridad.

  5. ParaPublic accessibility (Accesibilidad pública), eligeNo.

  6. Desplácese hasta la parte inferior y, a continuaciónContinuar.

  7. UNProgramación de las modificaciones, eligeApply immediately (Aplicar inmediatamente).

  8. Elija Modify DB Instance.

Para obtener más información sobre cómo trabajar con una instancia de base de datos en una VPC, consulteGuía del usuario de Amazon RDS.

[PCI.Redshift.1] Los clústeres de Amazon Redshift deben prohibir el acceso público

Gravedad: Critical

Tipo de recurso recurso recurso AWS::Redshift::Cluster

Regla de AWS Config: redshift-cluster-public-access-check

Tipo de programación Cambio activado

Parámetros: Ninguno

Este control comprueba si los clústeres de Amazon Redshift de son accesibles públicamente evaluando elpubliclyAccessibleen el elemento de configuración de clúster.

nota

Este control no es compatible en Asia-Pacífico (Osaka).

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 1.2.1: restrinja el tráfico entrante y saliente al que sea necesario para el entorno de datos del titular de la tarjeta (CDE) y deniegue específicamente todo el resto del tráfico.

Si utiliza un clúster de Amazon Redshift para almacenar datos del titular de la tarjeta, el clúster no debe tener acceso público. Permitir esto podría infringir el requisito de permitir solo el tráfico necesario hacia y desde el CDE.

PCI DSS 1.3.1: Implemente una DMZ para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

Si utiliza un clúster de Amazon Redshift para almacenar datos del titular de la tarjeta, el clúster no debe tener acceso público. Permitir esto podría infringir el requisito de limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

PCI DSS 1.3.2: limite el tráfico entrante de Internet a direcciones IP dentro de la DMZ.

Si utiliza un clúster de Amazon Redshift para almacenar datos del titular de la tarjeta, el clúster no debe ser accesible públicamente, ya que esto puede infringir el requisito de limitar el tráfico entrante de Internet a las direcciones IP dentro de la DMZ.

PCI DSS 1.3.4: No permita tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

Si utiliza un clúster de Amazon Redshift para almacenar datos del titular de la tarjeta, el clúster no debe tener acceso público. Permitir esto podría infringir el requisito de bloquear el tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

PCI DSS 1.3.6: Coloque los componentes del sistema que almacenan datos del titular de la tarjeta (como una base de datos) en una zona de red interna, separada de la DMZ y otras redes que no sean de confianza.

Si utiliza un clúster de Amazon Redshift para almacenar datos del titular de la tarjeta, el clúster no debe tener acceso público. Permitir esto podría infringir el requisito de colocar componentes del sistema que almacenan datos del titular de la tarjeta en una zona de red interna, separada de la DMZ y de otras redes que no sean de confianza.

Corrección

Para deshabilitar el acceso público de un clúster de Amazon Redshift

  1. Abra la consola de Amazon Redshift en https://console.aws.amazon.com/redshift/.

  2. En el panel de navegación, elijaClústeresy, a continuación, seleccione su clúster de Amazon Redshift público.

  3. En elRacimomenú desplegable, elijaModificar clúster.

  4. EnPublicly accessible (Accesible públicamente), eligeNo.

  5. Elija Modify (Modificar).

Para obtener más información acerca de la creación de un clúster en una VPC, consulte laAmazon Redshift.

[PCI.S3.1] Los buckets de S3 deberían prohibir el acceso de escritura pública

Gravedad: Critical

Tipo de recurso recurso recurso AWS::S3::Bucket

Regla de AWS Config: s3-bucket-public-write-prohibited

Tipo de programación Periódico y desencadenado por cambios

Parámetros: Ninguno

Este control comprueba si los buckets de S3 permiten el acceso de escritura pública mediante la evaluación de la configuración de Bloquear acceso público, la política del bucket y la lista de control de acceso (ACL) del bucket.

No comprueba si las entidades principales internas tienen acceso de escritura al bucket, como los roles de IAM. Debe asegurarse de que el acceso al bucket esté restringido únicamente a entidades principales autorizadas.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 1.2.1: restrinja el tráfico entrante y saliente al que sea necesario para el entorno de datos del titular de la tarjeta (CDE) y deniegue específicamente todo el resto del tráfico.

Si utiliza un bucket de S3 para almacenar los datos del titular de la tarjeta, el bucket debe prohibir el acceso público de escritura. Permitir el acceso de escritura pública podría infringir el requisito de permitir solo el tráfico necesario hacia y desde el CDE.

PCI DSS 1.3.1: Implemente una DMZ para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

Si utiliza un bucket de S3 para almacenar los datos del titular de la tarjeta, el bucket debe prohibir el acceso público de escritura. Permitir el acceso público de escritura podría infringir el requisito de limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

A menos que necesite de forma explícita que alguien en Internet pueda leer o escribir en su bucket de S3, debe asegurarse de que su bucket de S3 no permita la escritura pública.

PCI DSS 1.3.2: limite el tráfico entrante de Internet a direcciones IP dentro de la DMZ.

Si utiliza un bucket de S3 para almacenar los datos del titular de la tarjeta, el bucket debe prohibir el acceso público de escritura. Permitir el acceso público de escritura podría infringir el requisito de limitar el tráfico entrante de Internet a direcciones IP dentro de la DMZ.

PCI DSS 1.3.4: No permita tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

Si utiliza un bucket de S3 para almacenar los datos del titular de la tarjeta, el bucket debe prohibir el acceso público de escritura. Permitir el acceso público de escritura podría infringir el requisito de bloquear el tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

PCI DSS 1.3.6: Coloque los componentes del sistema que almacenan datos del titular de la tarjeta (como una base de datos) en una zona de red interna, separada de la DMZ y otras redes que no sean de confianza.

Si utiliza un bucket de S3 para almacenar los datos del titular de la tarjeta, el bucket debe prohibir el acceso público de escritura. Permitir el acceso público de escritura puede infringir el requisito de colocar componentes del sistema que almacenan datos del titular de la tarjeta en una zona de red interna, separada de la DMZ y otras redes que no sean de confianza.

PCI DSS 7.2.1: establezca sistemas de control de acceso para los componentes del sistema que restrinja el acceso en función de la necesidad de datos del usuario y esté configurado en «denegar todo» a menos que se permita específicamente. Este sistema o sistemas de control de acceso deben incluir lo siguiente: Cobertura de todos los componentes del sistema.

Si utiliza un bucket de S3 para almacenar los datos del titular de la tarjeta, el bucket debe prohibir el acceso público de escritura. Permitir el acceso de escritura pública podría infringir el requisito de garantizar que el acceso a los componentes del sistema esté restringido al mínimo privilegio necesario o a la necesidad de datos del usuario.

Corrección

Para eliminar el acceso público a un bucket de S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. Elija el nombre del bucket identificado en la búsqueda.

  3. Elija Permissions (Permisos) y, a continuación, seleccione Public access settings (Configuración de acceso público).

  4. Elija Edit (Editar), seleccione las cuatro opciones y elija Save (Guardar).

  5. Si se le solicite, introduzca confirm y luego seleccione Confirm (Confirmar).

[PCI.S3.2] Los buckets de S3 deberían prohibir el acceso público de lectura

Gravedad: Critical

Tipo de recurso recurso recurso AWS::S3::Bucket

Regla de AWS Config: s3-bucket-public-read-prohibited

Tipo de programación Periódico y desencadenado por cambios

Parámetros: Ninguno

Este control comprueba si los buckets de S3 permiten el acceso público de lectura mediante la evaluación de la configuración de Bloquear acceso público, la política del bucket y la lista de control de acceso (ACL) del bucket.

A menos que necesite de forma explícita que alguien en Internet pueda leer o escribir en su bucket de S3, debe asegurarse de que su bucket de S3 no permita la escritura pública.

No comprueba si las entidades principales internas tienen acceso de lectura al bucket, como los roles de IAM. Debe asegurarse de que el acceso al bucket esté restringido únicamente a entidades principales autorizadas.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 1.2.1: restrinja el tráfico entrante y saliente al que sea necesario para el entorno de datos del titular de la tarjeta (CDE) y deniegue específicamente todo el resto del tráfico.

Si utiliza un bucket de S3 para almacenar los datos del titular de la tarjeta, el bucket debe prohibir el acceso público de lectura. El acceso público de lectura podría infringir el requisito de permitir solo el tráfico necesario hacia y desde el CDE.

PCI DSS 1.3.1: Implemente una DMZ para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

Si utiliza un bucket de S3 para almacenar los datos del titular de la tarjeta, el bucket debe prohibir el acceso público de lectura. El acceso público de lectura podría infringir el requisito de limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

PCI DSS 1.3.2: limite el tráfico entrante de Internet a direcciones IP dentro de la DMZ.

Si utiliza un bucket de S3 para almacenar los datos del titular de la tarjeta, el bucket debe prohibir el acceso público de lectura. El acceso público de lectura podría infringir el requisito de limitar el tráfico entrante de Internet a direcciones IP dentro de la DMZ.

PCI DSS 1.3.6: Coloque los componentes del sistema que almacenan datos del titular de la tarjeta (como una base de datos) en una zona de red interna, separada de la DMZ y otras redes que no sean de confianza.

Si utiliza un bucket de S3 para almacenar los datos del titular de la tarjeta, el bucket debe prohibir el acceso público de lectura. El acceso público de lectura podría infringir el requisito de colocar componentes del sistema que almacenan datos del titular de la tarjeta en una zona de red interna, separada de la DMZ y de otras redes que no sean de confianza.

PCI DSS 7.2.1: establezca sistemas de control de acceso para los componentes del sistema que restrinja el acceso en función de la necesidad de datos del usuario y esté configurado en «denegar todo» a menos que se permita específicamente. Este sistema o sistemas de control de acceso deben incluir lo siguiente: Cobertura de todos los componentes del sistema.

Si utiliza un bucket de S3 para almacenar los datos del titular de la tarjeta, el bucket debe prohibir el acceso público de lectura. El acceso público de lectura podría infringir el requisito de garantizar que el acceso a los componentes del sistema se restrinja al mínimo privilegio necesario o a la necesidad de datos del usuario.

Corrección

Para eliminar el acceso público a un bucket de S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. Elija el nombre del bucket identificado en la búsqueda.

  3. Elija Permissions (Permisos) y, a continuación, seleccione Public access settings (Configuración de acceso público).

  4. Elija Edit (Editar), seleccione las cuatro opciones y elija Save (Guardar).

  5. Si se le solicite, introduzca confirm y luego seleccione Confirm (Confirmar).

[PCI.S3.3] Los buckets de S3 deben tener habilitada la replicación entre regiones

Gravedad: Baja

Tipo de recurso recurso recurso AWS::S3::Bucket

Regla de AWS Config: s3-bucket-replication-enabled

Tipo de programación Cambio activado

Parámetros: Ninguno

Este control comprueba si los buckets de S3 tienen la replicación entre regiones habilitada.

PCI DSS no requiere replicación de datos ni configuraciones de alta disponibilidad. Sin embargo, esta comprobación se alinea con las prácticas recomendadas de AWS para este control.

Además de la disponibilidad, debe plantearse otras configuraciones de protección de sistemas.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 2.2 Desarrolle estándares de configuración para todos los componentes del sistema. Asegúrese de que estos estándares aborden todas las vulnerabilidades de seguridad conocidas y sean coherentes con los estándares de protección de sistemas aceptados por el sector.

Habilitar la replicación entre regiones en buckets de S3 garantiza que diversas versiones de los datos estén disponibles en varias regiones distintas. Esto le permite almacenar datos a distancias aún mayores, minimizar la latencia, aumentar la eficiencia operativa y proteger contra DDoS y eventos de daños de datos.

Este es un método utilizado para implementar la configuración de protección de sistemas.

Corrección

Para habilitar la replicación del bucket de S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. Elija el bucket de S3 que no tenga habilitada la replicación entre regiones.

  3. ElegirGestióny, después,Replicación.

  4. Seleccione Add rule (Agregar regla). Si el control de versiones aún no está habilitado, se le pedirá que lo habilite.

  5. Elija su bucket de origen -Cubo entero.

  6. Elija su bucket de destino. Si el control de versiones aún no está habilitado en el bucket de destino de su cuenta, se le pedirá que lo habilite.

  7. Elija un rol de IAM. Para obtener más información sobre la configuración de permisos para la replicación, consulteAmazon Simple Storage Service Developer Guide.

  8. Introduzca un nombre de regla y elijaEnabled (Habilitado)para el estado y, a continuación, elijaPróximo.

  9. Seleccione Save (Guardar).

Para obtener más información acerca de la replicación, consulte laAmazon Simple Storage Service Developer Guide.

[PCI.S3.4] Los buckets de S3 deben tener habilitado el cifrado del lado del servidor

Gravedad: Media

Tipo de recurso recurso recurso AWS::S3::Bucket

Regla de AWS Config: s3-bucket-server-side-encryption-enabled

Tipo de programación Cambio activado

Parámetros: Ninguno

Este control comprueba que el bucket de Amazon S3 tenga habilitado el cifrado predeterminado de Amazon S3 o que la política de bucket de S3 deniegue explícitamente las solicitudes put-object sin cifrado en el lado del servidor.

Cuando se establece el cifrado predeterminado en un bucket, todos los objetos nuevos almacenados en el bucket se cifran cuando se almacenan, incluidos los datos PAN de texto sin cifrar.

El cifrado del lado del servidor de todos los objetos almacenados en un bucket también se puede aplicar mediante una política de bucket. Para obtener más información acerca del cifrado del lado del servidor, consulteAmazon Simple Storage Service Developer Guide.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 3.4: Haga que los números de cuenta principal (PAN) sean ilegibles en cualquier lugar donde se almacenen (incluidos medios digitales portátiles, medios de copia de seguridad y registros).

Si utiliza un bucket de S3 para almacenar números de cuenta principal (PAN) de tarjetas de crédito, entonces para hacer que el PAN sea ilegible, debe habilitarse el cifrado predeterminado del bucket o la política de bucket de S3 debe denegar explícitamente solicitudes put-object sin cifrado del lado del servidor.

Corrección

Para habilitar el cifrado predeterminado en un bucket de S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. Seleccione el bucket de la lista.

  3. Seleccione Properties (Propiedades).

  4. En Default encryption (Cifrado predeterminado), elija Edit (Editar).

  5. Para activar el cifrado en el servidor, elijaHabilitar. A continuación, eligeSSE-S3oSSE-KMS.

    • Para utilizar las claves administradas por Amazon S3 para el cifrado predeterminado, seleccioneSSE-S3. Para obtener más información sobre el uso del cifrado del lado del servidor de Amazon S3 para cifrar los datos, consulte laAmazon Simple Storage Service Developer Guide.

    • Para utilizar claves de administradas porAWS KMSpara el cifrado predeterminado, seleccioneSSE-KMS. A continuación, elija una clave maestra de la lista de claves maestras de AWS KMS que ha creado.

      Si eligeSSE-KMSescriba el nombre de recurso de Amazon (ARN) delAWS KMSclave de uso. Encontrará el ARN de suAWS KMSen la consola de IAM, enClave de cifrado de. O bien puede elegir un nombre de clave en la lista desplegable.

      importante

      Si utiliza la opción de AWS KMS para la configuración de cifrado predeterminado, se le aplicarán los límites de RPS (solicitudes por segundo) de AWS KMS. Para obtener más información acerca deAWS KMSy cómo solicitar un aumento de límite, consulteAWS Key Management ServiceGuía para desarrolladores.

      Para obtener más información acerca de cómo crear unAWS KMS, consulte laAWS Key Management ServiceGuía para desarrolladores.

      Para obtener más información acerca del uso deAWS KMScon Amazon S3, consulte lasAmazon Simple Storage Service Developer Guide.

    Al habilita el cifrado predeterminado, es posible que tenga que actualizar la política de bucket. Para obtener más información sobre cómo pasar de las políticas de bucket al cifrado predeterminado, consulteAmazon Simple Storage Service Developer Guide.

  6. Seleccione Save (Guardar).

Para obtener más información acerca del cifrado predeterminado del bucket de S3, consulte laAmazon Simple Storage Service Developer Guide.

[PCI.S3.5] Los buckets de S3 deben requerir solicitudes para utilizar la capa de conexión segura

Gravedad: Media

Tipo de recurso recurso recurso AWS::S3::Bucket

Regla de AWS Config: s3-bucket-ssl-requests-only

Tipo de programación Cambio activado

Parámetros: Ninguno

Este control comprueba si los buckets de Amazon S3 tienen políticas que requieren que las solicitudes utilicen la capa de conexión segura (SSL).

Los depósitos de S3 deben tener políticas que requieran todas las solicitudes (Action: S3:*) para aceptar solo la transmisión de datos a través de HTTPS en la política de recursos de S3, indicada por la clave de condiciónaws:SecureTransport.

Esto no comprueba la versión de SSL o TLS. No debe permitir versiones anteriores de SSL o TLS (SSLv3, TLS1.0) según los requisitos de PCI DSS.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS.

PCI DSS 4.1 Utilice protocolos de seguridad y criptografía sólidos para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes públicas abiertas.

Si usa depósitos de S3 para almacenar datos de titulares de tarjetas, asegúrese de que las políticas de depósito requieran que las solicitudes al depósito solo acepten la transmisión de datos a través de HTTPS. Por ejemplo, puede utilizar la declaración de política"aws:SecureTransport": "false"denegar cualquier solicitud a la que no se acceda a través de HTTPS Permitir transmisiones sin cifrar de los datos de los titulares de tarjetas podría infringir el requisito de utilizar protocolos de seguridad y criptografía sólidos para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes públicas abiertas.

Corrección

Para solucionar este problema, actualice la política de permisos del bucket de S3.

Para configurar un bucket de S3 para denegar el transporte no seguro

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. Navegue hasta el bucket de no conformidad y, a continuación, elija el nombre del bucket.

  3. Elija Permissions (Permisos) y, a continuación, seleccione Bucket Policy (Política de bucket).

  4. Agregue una declaración de política similar a la de la política siguiente. Reemplazarawsexamplebucketcon el nombre del bucket de que está modificando.

    { "Id": "ExamplePolicy", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSLRequestsOnly", "Action": "s3:*", "Effect": "Deny", "Resource": [ "arn:aws:s3:::awsexamplebucket", "arn:aws:s3:::awsexamplebucket/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" } ] }
  5. Seleccione Save (Guardar).

Para obtener más información, consulte el artículo¿Qué política de bucket de S3 debería usar para cumplir conAWS Configregla s3-bucket-ssl-requests-only?.

[PCI.S3.6] La configuración de S3 Block Public Access debe estar habilitada

Gravedad: Media

Tipo de recurso recurso recurso S3AWScuenta

Regla de AWS Config: s3-account-level-public-access-blocks-periodic

Tipo de programación Periódico

Parámetros:

  • ignorePublicAcls: true

  • blockPublicPolicy: true

  • blockPublicAcls: true

  • restrictPublicBuckets: true

Este control comprueba si la siguiente configuración del bloque de acceso público está configurada en el nivel de cuenta.

  • ignorePublicAcls: true,

  • blockPublicPolicy: true

  • blockPublicAcls: true

  • restrictPublicBuckets: true

El control pasa si todos los ajustes de bloqueo de acceso público están establecidos entrue.

El control falla si alguna de las configuraciones está establecida enfalseo si alguno de los parámetros no está configurado.

ComoAWSpráctica recomendada, los depósitos de S3 deben bloquear el acceso público. A menos que necesite de forma explícita que alguien en Internet pueda acceder a su bucket de S3, debe asegurarse de que su bucket de S3 no sea de acceso público.

nota

Este control no se admite en las siguientes regiones.

  • Asia-Pacífico (Osaka)

  • Europe (Milan)

  • Middle East (Bahrain)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS.

PCI DSS 1.2.1: restrinja el tráfico entrante y saliente al que sea necesario para el entorno de datos del titular de la tarjeta (CDE) y deniegue específicamente todo el resto del tráfico.

Si usa depósitos de S3 para almacenar datos de titulares de tarjetas, asegúrese de que el depósito no permita el acceso público. El acceso público a su bucket de S3 podría infringir el requisito de permitir solo el tráfico necesario hacia y desde el CDE.

PCI DSS 1.3.1: implemente una DMZ para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

Si usa depósitos de S3 para almacenar datos de titulares de tarjetas, asegúrese de que el depósito no permita el acceso público. Permitir el acceso público a su bucket de S3 podría infringir el requisito de limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

PCI DSS 1.3.2: limite el tráfico entrante de Internet a direcciones IP situadas dentro de la DMZ.

Si usa depósitos de S3 para almacenar datos de titulares de tarjetas, asegúrese de que el depósito no permita el acceso público. Permitir el acceso público a su bucket de S3 podría infringir el requisito de limitar el tráfico entrante a direcciones IP dentro de la DMZ.

PCI DSS 1.3.4 No permita tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

Si usa depósitos de S3 para almacenar datos de titulares de tarjetas, asegúrese de que el depósito no permita el acceso público. Permitir el acceso público a su bucket de S3 podría infringir el requisito de bloquear el tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

PCI DSS 1.3.6 coloque los componentes del sistema que almacenan datos del titular de la tarjeta (como una base de datos) en una zona de red interna, separada de la DMZ y de otras redes que no sean de confianza.

Si usa depósitos de S3 para almacenar datos de titulares de tarjetas, asegúrese de que el depósito no permita el acceso público. Permitir el acceso público a su bucket de S3 podría infringir el requisito de colocar componentes del sistema que almacenan datos del titular de la tarjeta en una zona de red interna, separada de la DMZ y de otras redes que no sean de confianza.

Corrección

Para habilitar Amazon S3 Public Access

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. En el panel de navegación, elijaBlock public access (account settings).

  3. Elija Edit (Editar). A continuación, seleccioneBloquetodosacceso público.

  4. Elija Save changes (Guardar cambios).

Para obtener más información, consulteUso del bloqueo de acceso público de Amazon S3en laAmazon Simple Storage Service Developer Guide.

[PCI].SageMaker.1] Amazon SageMaker las instancias de portátiles no deben tener acceso directo a Internet

Gravedad: Alta

Tipo de recurso recurso recurso AWS::SageMaker::NotebookInstance

Regla de AWS Config: sagemaker-notebook-no-direct-internet-access

Tipo de programación Periódico

Parámetros: Ninguno

Este control comprueba si el acceso directo a Internet está deshabilitado para un SageMaker Instancia de bloc Para ello, comprueba si elDirectInternetAccessestá desactivado para la instancia del bloc de notas.

Si configuras tu SageMaker sin una VPC, de forma predeterminada, el acceso directo a Internet está habilitado en la instancia. Debe configurar la instancia con una VPC y cambiar la configuración predeterminada aDeshabilitar: acceda a Internet a través de una VPC.

Para entrenar o alojar modelos desde un portátil, necesita acceso a Internet. Para habilitar el acceso a Internet, asegúrese de que su VPC disponga de una gateway NAT y de que su grupo de seguridad permita conexiones salientes. Para obtener más información sobre cómo conectar una instancia de notebook a los recursos de una VPC, consulteConnect una instancia de notebook a los recursos de una VPCen laAmazon SageMaker Guía para desarrolladores.

También debe asegurarse de que el acceso a su SageMaker la configuración está limitada solo a los usuarios autorizados. Limitar los permisos de IAM de los usuarios para modificar SageMaker configuración y recursos.

nota

Este control no se admite en las siguientes regiones.

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • Europa (Milán)

  • AWS GovCloud (EE. UU. Este)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 1.2.1: restrinja el tráfico entrante y saliente al que sea necesario para el entorno de datos del titular de la tarjeta (CDE) y deniegue específicamente todo el resto del tráfico.

Si usa SageMaker instancias de notebook dentro de su CDE, asegúrese de que la instancia de notebook no permita el acceso directo a Internet. Permitir el acceso público directo a la instancia de bloc de notas podría infringir el requisito de permitir solo el tráfico necesario hacia y desde el CDE.

PCI DSS 1.3.1: implemente una DMZ para limitar el tráfico entrante a solo componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

Si usa SageMaker instancias de notebook dentro de su CDE, asegúrese de que la instancia de notebook no permita el acceso directo a Internet. Permitir el acceso público directo a la instancia de portátil podría infringir el requisito de permitir solo el acceso a componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizado.

PCI DSS 1.3.2: limite el tráfico entrante de Internet a direcciones IP situadas dentro de la DMZ.

Si usa SageMaker instancias de notebook dentro de su CDE, asegúrese de que la instancia de notebook no permita el acceso directo a Internet. Permitir el acceso público directo a la instancia de su bloc de notas podría infringir el requisito de limitar el tráfico entrante a direcciones IP dentro de la DMZ.

PCI DSS 1.3.4 No permita tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

Si usa SageMaker instancias de notebook dentro de su CDE, asegúrese de que la instancia de notebook no permita el acceso directo a Internet. Permitir el acceso público directo a la instancia de su portátil podría infringir el requisito de bloquear el tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.

PCI DSS 1.3.6 coloque los componentes del sistema que almacenan datos del titular de la tarjeta (como una base de datos) en una zona de red interna, separada de la DMZ y de otras redes que no sean de confianza.

Si usa SageMaker instancias de notebook, y la instancia de notebook contiene datos de titulares de tarjetas, restringe el acceso directo a Internet. Permitir el acceso público directo a la instancia de su portátil podría infringir el requisito de colocar componentes del sistema que almacenan datos del titular de la tarjeta en una zona de red interna, separada de la DMZ y de otras redes que no sean de confianza.

Corrección

Tenga en cuenta que no puede cambiar la configuración de acceso a Internet después de crear una instancia de notebook. Debe detenerse, eliminarse y volver a crearse.

Configuración de un SageMaker instancia de portátil para denegar el acceso directo a Internet

  1. Abra el icono SageMaker Consola de enhttps://console.aws.amazon.com/sagemaker/

  2. Vaya aInstancias de blo.

  3. Elimine la instancia que tenga habilitado el acceso directo a Internet. Elija la instancia, elijaActionsy, a continuación, seleccione stop.

    Una vez que la instancia se haya detenido, elijaActionsy, después,borrar.

  4. Elija Create notebook instance (Crear instancia con cuaderno). Proporcione los detalles de la configuración.

  5. Expanda elRedsección. A continuación, elija una VPC, una subred y un grupo de seguridad. UNAcceso directo a Internet, eligeDeshabilitar: acceda a Internet a través de una VPC.

  6. Elija Create notebook instance (Crear instancia con cuaderno).

Para obtener más información, consulteConnect una instancia de notebook a los recursos de una VPCen laAmazon SageMaker Guía para desarrolladores.

[PCI.SSM.1] Las instancias de Amazon EC2 administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche

Gravedad: Media

Tipo de recurso recurso recurso AWS::SSM::PatchComplianceyAWS::EC2::Instance

Regla de AWS Config: ec2-managedinstance-patch-compliance-status-check

Schedule: Cambio activado

Parámetros: Ninguno

Este control comprueba si el estado de conformidad de la conformidad de parches de Amazon EC2 Systems Manager esCOMPLIANToNON_COMPLIANTtras la instalación del parche en la instancia.

Solo comprueba las instancias administradas por el Administrador de parches de AWS Systems Manager.

No comprueba si el parche se aplicó dentro del límite de 30 días prescrito por el requisito 6.2 de PCI DSS.

Tampoco valida si los parches aplicados se clasificaron como parches de seguridad.

Debe crear grupos de parches con la configuración de línea base adecuada y asegurarse de que los sistemas dentro del ámbito sean administrados por esos grupos de parches en Systems Manager. Para obtener más información acerca de los grupos de parches, consulte laAWS Systems ManagerGuía del usuario de.

nota

Este control no se admite en las siguientes regiones.

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 6.2: Asegúrese de que todos los componentes del sistema y el software estén protegidos contra vulnerabilidades conocidas mediante la instalación de parches de seguridad proporcionados por el proveedor. Instale parches de seguridad críticos en el plazo de un mes a partir del lanzamiento.

Los parches publicados por el proveedor para sistemas que están dentro del ámbito para PCI DSS deben probarse y validarse antes de la instalación en el entorno de producción. Una vez implementados, la configuración y los controles de seguridad deben validarse para garantizar que los parches implementados no hayan afectado la seguridad del entorno de datos del titular de la tarjeta (CDE).

Si utiliza instancias Amazon EC2 gestionadas porAWS Systems ManagerAdministrador de parches para aplicar parches a instancias administradas en el CDE y asegúrese de que los parches se apliquen correctamente. Para ello, compruebe que el estado de conformidad de la conformidad de parches de Amazon EC2 Systems Manager sea «COMPLIANT». El Administrador de parches puede aplicar parches aplicables tanto para sistemas operativos como para aplicaciones.

Este es un método utilizado para proteger los componentes del sistema y el software de vulnerabilidades conocidas.

Corrección

Para solucionar parches no conformes

Esta regla comprueba si el estado de conformidad de la conformidad de parches de Amazon EC2 Systems Manager es COMPLIANT o NON_COMPLIANT. Para obtener más información acerca de los estados de conformidad de los parches, consulteAWS Systems ManagerGuía del usuario de.

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, enNode Management, eligeRun Command.

  3. Elija Run command (Ejecutar comando).

  4. Seleccione el botón de radio situado junto a AWS-RunPatchBaseline y, a continuación, cambie Operation (Operación) a Install (Instalar).

  5. ElegirElegir las instancias manualmentey, a continuación, elija las instancias no conformes.

  6. Desplácese hasta la parte inferior y, a continuación, elija Run (Ejecutar).

  7. Una vez completado el comando, para monitorear el nuevo estado de conformidad de las instancias con parches aplicados, en el panel de navegación, elija Compliance (Conformidad).

ConsulteAWS Systems ManagerGuía del usuario depara obtener más información acerca de lo siguiente

[PCI.SSM.2] Las instancias administradas por Systems Manager deben tener un estado de cumplimiento de asociación deCOMPLIANT

Gravedad: Baja

Tipo de recurso recurso recurso AWS::SSM::AssociationCompliance

Regla de AWS Config: ec2-managedinstance-association-compliance-status-check

Tipo de programación Cambio activado

Parámetros: Ninguno

Este control comprueba si el estado deAWS Systems Managerconformidad de las asociaciones esCOMPLIANToNON_COMPLIANTdespués de que la asociación se ejecute en una instancia. El control pasa si el estado de cumplimiento de la asociación esCOMPLIANT.

Una asociación de State Manager es una configuración que se asigna a las instancias administradas. La configuración define el estado que desea mantener en las instancias. Por ejemplo, una asociación puede especificar que el software antivirus debe estar instalado y ejecutándose en las instancias, o bien que determinados puertos deben estar cerrados.

Después de crear una o varias asociaciones de State Manager, la información sobre el estado de la conformidad estará disponible inmediatamente en la consola o como respuesta aAWS CLIcomandos u operaciones API de Systems Manager correspondientes. Para las asociaciones,Configuration Compliancemuestra los estados deSumisooNo conformey el nivel de gravedad asignados a la asociación, comoCríticaoMediano. Para obtener más información sobre el cumplimiento de la asociación de administradores estatales, consulteAcerca del cumplimiento de asociaciones de State Manageren laAWS Systems ManagerGuía del usuario de.

Debe configurar las instancias de EC2 dentro del alcance para la asociación de Systems Manager. También debe configurar la línea base de parches para la calificación de seguridad del proveedor de parches y establecer la fecha de aprobación automática para cumplir con el requisito 6.2 de PCI DSS 3.2.1. Para obtener más información sobre cómo crear una asociación, consulteCrear una asociaciónen laAWS Systems ManagerGuía del usuario de. Para obtener información adicional sobre cómo trabajar con parches en Systems Manager, consulteAWS Systems ManagerAdministrador de parches deen laAWS Systems ManagerGuía del usuario de.

nota

Este control no se admite en las siguientes regiones.

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS.

PCI DSS 2.4 Mantenga un inventario de los componentes del sistema que están dentro del ámbito de PCI DSS.

Si utiliza instancias de EC2 gestionadas por Systems Manager para recopilar el inventario de su entorno de datos de titulares de tarjetas (CDE), asegúrese de que las instancias se asocien correctamente. Para ello, compruebe si el estado de conformidad de la conformidad de asociación de Systems Manager esCOMPLIANT. El uso de Systems Manager puede ayudar a mantener un inventario de los componentes del sistema que están dentro del ámbito de PCI DSS. Para obtener más información sobre cómo organizar el inventario, consultaConfiguración de la sincronización de datos de recursos para Inventoryen laAWS Systems ManagerGuía del usuario de.

Corrección

Una asociación fallida puede estar relacionada con diferentes cosas, incluidos destinos y nombres de documentos de SSM. Para solucionar este problema, primero debe identificar e investigar la asociación. A continuación, puede actualizar la asociación para corregir el problema específico.

Puede editar una asociación para especificar un nuevo nombre, la programación, el nivel de gravedad o los destinos. Después de editar una asociación, Systems Manager crea una nueva versión.

Para investigar y actualizar una asociación fallida

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, enNode Management, eligeFleet Manager.

  3. Elige el ID de instancia que tiene unEstado de la asociacióndeFailed (Error).

  4. Elija View details (Ver detalles).

  5. ElegirAssociations.

  6. Anote el nombre de la asociación que tiene unEstado de la asociacióndeFailed (Error). Esta es la asociación que debe investigar. Debe usar el nombre de la asociación en el paso siguiente.

  7. En el panel de navegación, enNode Management, eligeState Manager. Busque el nombre de la asociación y, a continuación, selecciónela.

    Después de determinar el problema, edite la asociación fallida para corregir el problema. Para obtener información sobre cómo editar una asociación, consulteEditar una asociación.

Para obtener más información sobre la creación y edición de asociaciones de State Manager, consulteTrabajo con asociaciones en Systems Manageren laAWS Systems ManagerGuía del usuario de.

[PCI.SSM.3] Las instancias EC2 deben gestionarse porAWS Systems Manager

Gravedad: Media

Tipo de recurso recurso recurso AWS::EC2::Instance

Regla de AWS Config: ec2-instance-managed-by-systems-manager

Tipo de programación Cambio activado

Parámetros: Ninguno

Este control comprueba si las instancias EC2 de su cuenta se administran mediante Systems Manager.

AWS Systems Manageres unAWSque puede utilizar para ver y controlar suAWSinfraestructura. Para ayudarle a mantener la seguridad y la conformidad, Systems Manager analiza las instancias administradas. Una instancia administrada es una máquina que está configurada para usarla con Systems Manager. A continuación, Systems Manager informa o toma medidas correctivas sobre cualquier infracción de políticas que detecte. Systems Manager también lo ayuda a configurar y mantener sus instancias administradas. Se necesita una configuración adicional en Systems Manager para la implementación de parches en las instancias de EC2 administradas.

Para obtener más información, consulte la AWS Systems Manager Guía del usuario.

Requisitos relacionados de PCI DSS

Este control está relacionado con los siguientes requisitos de PCI DSS:

PCI DSS 2.4 Mantenga un inventario de los componentes del sistema que están dentro del ámbito de PCI DSS.

Si utiliza instancias de EC2 administradas por Systems Manager para recopilar el inventario de su entorno de datos de titulares de tarjetas (CDE), asegúrese de que Systems Manager gestione las instancias. El uso de Systems Manager puede ayudar a mantener un inventario de los componentes del sistema que están dentro del ámbito de PCI DSS. Para obtener más información sobre cómo organizar el inventario, consultaConfiguración de sincronización de datos de recursos para inventarioen laAWS Systems ManagerGuía del usuario de.

PCI DSS 6.2 Asegúrese de que todos los componentes del sistema y el software estén protegidos contra vulnerabilidades conocidas mediante la instalación de parches de seguridad proporcionados por el proveedor. Instale parches de seguridad críticos en el plazo de un mes a partir del lanzamiento.

Para los sistemas que están dentro del alcance de PCI DSS, antes de instalar los parches del proveedor en un entorno de producción, debe probarlos y validarlos. Después de implementar los parches, valide la configuración y los controles de seguridad para garantizar que los parches implementados no hayan afectado la seguridad del CDE. Si utiliza instancias EC2 administradas por Systems Manager para aplicar parches a instancias administradas en el CDE, asegúrese de que las instancias sean administradas por Systems Manager. Systems Manager implementa parches del sistema, que ayudan a proteger los componentes del sistema y el software de vulnerabilidades conocidas.

Corrección

Puede utilizar la configuración rápida de Systems Manager para configurar Systems Manager y administrar las instancias EC2.

Para determinar si sus instancias pueden admitir asociaciones de Systems Manager, consulteRequisitos previos de Systems Manageren laAWS Systems ManagerGuía del usuario de.

Para garantizar que las instancias EC2 estén administradas por Systems Manager

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elijaInstalación rápida.

  3. En la pantalla de configuración, mantenga las opciones predeterminadas.

  4. Elija Set up Systems Manager (Configurar Systems Manager).