Controles de las prácticas de seguridad básicas recomendadas de AWS - AWS Security Hub
Controles categorizados por servicio[ACM.1] Los certificados de importados y emitidos por ACM deben renovarse después de un período de tiempo especificado[ApiGateway.1] API Gateway REST y WebSocket El registro de la API debe estar habilitado[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de backend[ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Rayrastreo habilitado[ApiGateway.4] API Gateway debe asociarse a unAWS WAFACL de de[APIGateway.5] Los datos de caché de API REST de API Gateway deben cifrarse en reposo[AutoScaling.1] Los grupos de Auto Scaling asociados con un balanceador de carga deben usar comprobaciones de estado del balanceador de carga[AutoScaling.2] El grupo de Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad[AutoScaling.3] El grupo de Auto Scaling debe configurar las instancias EC2 para requerir Servicio de metadatos de instancia versión 2 (IMDSv2)[AutoScaling.4] La configuración de lanzamiento del grupo de Auto Scaling no debe tener un límite de salto de respuesta de metadatos1[AutoScaling.5] Las instancias de Amazon EC2 lanzadas con configuraciones de lanzamiento de grupos de Auto Scaling no deben tener direcciones IP públicas[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en varias zonas de disponibilidad[CloudFormation.1] CloudFormation Las pilas de deben integrarse con Simple Notification Service (SNS)[CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado[CloudFront.5] CloudFront las distribuciones deben tener habilitada la identidad de acceso al origen[CloudFront.5] CloudFront las distribuciones deben requerir cifrado en tránsito[CloudFront.5] CloudFront las distribuciones deben tener configurada la conmutación por error de origen[CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro[CloudFront.5] CloudFront las distribuciones de deberían tenerAWS WAFenabled[CloudFront.7] CloudFront las distribuciones de deben usar certificados SSL/TLS personalizados[CloudFront.8] CloudFront las distribuciones de deben usar SNI para atender solicitudes HTTPS[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados[CloudFront.10] CloudFront las distribuciones no deben usar protocolos SSL en desuso entre las ubicaciones de borde y los orígenes personalizados[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro de seguimiento de varias regiones que incluya eventos de administración de lectura y escritura[CloudTrail.5] CloudTrail debe tener habilitado el cifrado en reposo de[CloudTrail.4] Asegúrese CloudTrail la validación de archivos de registro está habilitada[CloudTrail.5] Asegúrese CloudTrail los registros de seguimiento están integrados con Amazon CloudWatch Registros[CodeBuild.1] CodeBuild GitHub o las URL del repositorio de origen de Bitbucket de deben usar OAuth[CodeBuild.5] CodeBuild Las variables de entorno del proyecto no deben contener credenciales de texto sin cifrar[CodeBuild.5] CodeBuild los entornos de proyecto deben tener una configuración de registro[CodeBuild.5] CodeBuild los entornos de proyecto no deben tener habilitado el modo privilegiado[Config.1] AWS Config debe estar habilitado[DMS.1]AWS Database Migration Servicelas instancias de replicación no deben ser públicas[DynamoDB.1] Las tablas de DynamoDB deben escalar automáticamente la capacidad en función de la demanda[DynamoDB.2] Las tablas de DynamoDB deben tener point-in-time recuperación habilitada[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo[EC2.1] Las instantáneas de Amazon EBS no deben ser públicas, en función de su disponibilidad para ser restaurables por cualquier persona[EC2.2] El grupo de seguridad predeterminado de VPC no debe permitir el tráfico entrante ni saliente [EC2.3] Los volúmenes de EBS asociados deben cifrarse en reposo[EC2.4] Las instancias EC2 detenidas deben eliminarse tras un periodo de tiempo especificado[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC [EC2.7] Debe habilitarse el cifrado predeterminado de EBS[EC2.8] Las instancias de EC2 deben usar IMDSv2[EC2.9] Las instancias de EC2 no deben tener una dirección IP pública[EC2.10] Amazon EC2 debe configurarse para usar puntos de enlace de VPC que se crean para el servicio Amazon EC2[EC2.15] Las subredes de EC2 no deben asignar automáticamente direcciones IP públicas[EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas[EC2.17] Las instancias de EC2 no deben usar varios ENI[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones para los puertos autorizados[EC2.19] Los grupos de seguridad no deben permitir el acceso sin restricciones a los puertos con alto riesgo[EC2.20] Ambos túneles VPN paraAWSLa conexión de Site-to-Site VPN debe estar activa[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0/0 al puerto 22 o al puerto 3389[EC2.22] Los grupos de seguridad de EC2 que no se utilicen se deben eliminar[EC2.23] Las pasarelas de tránsito de EC2 no deben aceptar automáticamente las solicitudes de adjuntos de VPC[EC2.24] No se deben usar tipos de instancias EC2 paravirtuales[EC2.27] La ejecución de instancias de EC2 no debe usar pares de claves (retirado)[ECR.1] Los repositorios privados de ECR deben tener configurada la exploración de imágenes[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas[ECR.3] Los repositorios de ECR deben tener al menos una política de ciclo de vida configurada[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario[ECS.2] Los servicios de Amazon ECS no deben tener direcciones IP públicas asignadas automáticamente[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de procesos del host[ECS.4] Los contenedores de ECS deben ejecutarse como no privilegiados[ECS.5] Los contenedores de ECS deben limitarse al acceso de solo lectura a los sistemas de archivos raíz[ECS.8] Los secretos no deben pasarse como variables de entorno de contenedor[ECS.10] Los servicios de Fargate deben ejecutarse en la última versión de la plataforma Fargate[ECS.12] Los clústeres de ECS deben tener habilitado Container Insights[EFS.1] Amazon EFS debe configurarse para cifrar los datos del archivo en reposo medianteAWS KMS[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario[EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deben tener habilitados los informes de estado mejorados[ElasticBeanstalk.2] Deben habilitarse las actualizaciones de la plataforma gestionada de Elastic Beanstalk[ELB.2] Los balanceadores de carga clásicos con escuchas HTTPS/SSL deben usar un certificado proporcionado porAWS Certificate Manager[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con terminación HTTPS o TLS[ELB.4] Los balanceadores de carga de aplicaciones deben configurarse para descartar encabezados HTTP[ELB.5] Se debe habilitar el registro de balanceadores de carga clásicos y de aplicaciones[ELB.6] La protección contra eliminación del balanceador de carga de aplicaciones debe estar habilitada[ELB.7] Los balanceadores de carga clásicos deben tener habilitado el drenaje de conexiones[ELB.8] Los balanceadores de carga clásicos con escuchas HTTPS/SSL deben usar una política de seguridad predefinida que tenga una configuración sólida[ELB.9] Los balanceadores de cargas clásicos deben tener habilitado el balanceo de cargas entre zonas[ELB.10] Los balanceadores de carga clásicos deben abarcar varias zonas de disponibilidad[ELB.12] Los balanceadores de carga de aplicaciones deben configurarse con el modo de mitigación de desincronización defensivo o más estricto[ELB.13] Los balanceadores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad[ELB.14] Los balanceadores de carga clásicos deben configurarse con el modo de mitigación de desincronización defensivo o más estricto[ELBv2.1] El Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo[ES.2] Los dominios de Elasticsearch deben estar en una VPC[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre los nodos[ES.4] Error de dominio de Elasticsearch al iniciar sesión en CloudWatch Los registros deben estar habilitados[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados[ES.8] Las conexiones a los dominios de Elasticsearch deben cifrarse mediante TLS 1.2[GuardDuty.1] GuardDuty debe estar habilitado[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos «*»[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos[IAM.4] La clave de acceso del usuario raíz de IAM no debe existir[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas[IAM.21] Las políticas administradas por el cliente de IAM que crees no deben permitir acciones comodín para los servicios[Kinesis.1] Kinesis Data Streams debe cifrarse en reposo[KMS.1] Las políticas administradas por el cliente de IAM no deben permitir acciones de descifrado y re-cifrado en todas las claves de KMS[KMS.2] Los principales de IAM no deben tener políticas en línea de IAM que permitan acciones de descifrado y re-cifrado en todas las claves de KMS [KMS.3]AWS KMSlas claves no se deben eliminar involuntariamente[Lambda.1] Las políticas de funciones de Lambda deberían prohibir el acceso público[Lambda.2] Las funciones de Lambda deben usar tiempos de ejecución compatibles[Lambda.4] Las funciones de Lambda deben tener configurada una cola de mensajes no entregados (Retirada)[Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad[Network Firewall red.3] Las directivas del Network Firewall deben tener al menos un grupo de reglas asociado[NetworkFirewall.4] La acción sin estado predeterminada para las directivas del Network Firewall debe ser omitir o reenviar paquetes completos[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser omitir o reenviar paquetes fragmentados[NetworkFirewall.6] Los grupos de reglas de Network Firewall sin estado no deben estar vacíos[OpenSearch.1] OpenSearch los dominios de deben tener habilitado el cifrado en reposo[OpenSearch.5] OpenSearch Los dominios de deberían estar en una VPC[OpenSearch.5] OpenSearch los dominios deben cifrar los datos enviados entre nodos[OpenSearch.5] OpenSearch error de dominio al iniciar sesión en CloudWatch Los registros deben estar habilitados[OpenSearch.5] OpenSearch los dominios deben tener habilitado el registro de auditoría[OpenSearch.5] OpenSearch los dominios de deben tener tres nodos de datos como mínimo[OpenSearch.7] OpenSearch Los dominios deben tener Control de acceso detallado habilitado[OpenSearch.8] Conexiones a OpenSearch Los dominios se deben cifrar mediante TLS 1.2[RDS.1] Las instantáneas de RDS deben ser privadas[RDS.2] Las instancias de base de datos de Amazon RDS deben prohibir el acceso público, en función de la PubliclyAccessible configuración[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo[RDS.4] Las instantáneas del clúster RDS y las instantáneas de la base de datos deben cifrarse en reposo[RDS.5] Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad[RDS.6] Se debe configurar la supervisión mejorada para los clústeres e instancias de base de datos de RDS[RDS.7] Los clústeres de RDS deben tener habilitada la protección contra eliminación[RDS.8] Las instancias de base de datos de RDS deben tener habilitado la protección[RDS.9] El registro de bases de datos debe estar habilitado[RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS[RDS.11] Las instancias de Amazon RDS deben tener habilitados los respaldos automáticos[RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS[RDS.13] Deben habilitarse las actualizaciones automáticas de versiones secundarias de RDS[RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso[RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad[RDS.16] Los clústeres de base de datos de RDS se deben configurar para copiar etiquetas en instantáneas[RDS.17] Las instancias de base de datos de RDS deben configurarse para copiar etiquetas en instantáneas[RDS.18] Las instancias de RDS deben implementarse en una VPC[RDS.19] Se debe configurar una suscripción a notificaciones de eventos de RDS para los eventos críticos del clúster[RDS.20] Se debe configurar una suscripción a notificaciones de eventos de RDS para los eventos de instancia de base de datos críticos[RDS.21] Se debe configurar una suscripción a notificaciones de eventos de RDS para eventos de grupos de parámetros de base de datos críticos[RDS.22] Se debe configurar una suscripción a notificaciones de eventos de RDS para eventos críticos de grupos de seguridad de bases de datos[RDS.23] Las bases de datos y clústeres de RDS no deben usar un puerto predeterminado del motor de base[RDS.24] Los clústeres de bases de datos de RDS deben usar un nombre de usuario[RDS.25] Las instancias de base de datos RDS deben usar un nombre de usuario de administrador[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público[Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito[Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas[Redshift.4] Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría[Redshift.6] Amazon Redshift debe tener habilitadas las actualizaciones automáticas a las versiones principales[Redshift.7] Los clústeres de Amazon Redshift deben usar enrutamiento de VPC mejorado[Redshift.8] Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado[Redshift.9] Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado[S3.1] La configuración de S3 Block Public Access debe estar habilitada[S3.2] Los buckets de S3 deberían prohibir el acceso de lectura público[S3.3] Los buckets de S3 deberían prohibir el acceso de escritura público[S3.4] Los buckets de S3 deben tener habilitado el cifrado del lado del servidor[S3.5] Los buckets de S3 deben requerir solicitudes para utilizar Secure Socket Layer Layer[S3.6] Permisos de Amazon S3 concedidos a otrosAWSlas cuentas en las políticas de depósito deben estar restringidas[S3.8] La configuración de S3 Block Public Access debe habilitarse en el nivel de bucket[S3.9] Se debe habilitar el registro de acceso al servidor de bucket S3[S3.10] Los buckets de S3 con control de versiones habilitado deben tener configuradas políticas de ciclo de vida[S3.11] Los buckets de S3 deben tener habilitadas las notificaciones de eventos[S3.12] Las listas de control de acceso (ACL) de S3 no deben utilizarse para administrar el acceso de los usuarios a buckets[S3.13] Los buckets de S3 deben tener políticas de ciclo de vida configuradas[SageMaker.1] SageMaker las instancias de notebook no deben tener acceso directo a Internet[SecretsManager.1] Los secretos de Secrets Manager deben tener habilitada la rotación automática[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente[SecretsManager.3] Eliminar secretos de Secrets Manager no utilizados[SecretsManager.4] Los secretos de Secrets Manager deben rotarse dentro de un número específico de días[SNS.1] Los temas de SNS se deben cifrar en reposo medianteAWS KMS[SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema[SQS.1] Las colas de Amazon SQS deben cifrarse en reposo[SSM.1] Las instancias EC2 deben ser administradas porAWS Systems Manager[SSM.2] Todas las instancias EC2 administradas por Systems Manager deben cumplir los requisitos de aplicación de parches[SSM.3] Las instancias administradas por Systems Manager deben tener un estado de cumplimiento de asociación deCOMPLIANT[SSM.4] Los documentos del MUS no deben ser públicos[WAF.1]AWS WAFDebe habilitarse el registro de ACL web global clásico[WAF.2] Una regla regional de WAF debe tener al menos una condición[WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla[WAF.4] Una ACL web regional clásica de WAF debe tener al menos una regla o grupo de reglas[WAF.6] Una regla global del WAF debe tener al menos una condición[WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla[WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de las prácticas de seguridad básicas recomendadas de AWS

El estándar de prácticas de seguridad básicas recomendadas de AWS contiene los siguientes controles. Para cada control se incluye la siguiente información.

  • Categoría a la que se aplica el control. Para obtener descripciones de las categorías, consulte.Categorías de control.

  • Gravedad

  • El recurso aplicable que evalúa el control. También enumeramos los recursos dependientes para el control.

  • Regla de AWS Config obligatoria y valores de parámetro específicos establecidos por AWS Security Hub

  • Pasos de corrección

Tenga en cuenta que los huecos en los números de control indican controles que aún no se han liberado. Si un control se indica comoReseleccionar, Security Hub no genera resultados para ese control.

Controles categorizados por servicio

AWS Certificate Manager

Amazon API Gateway

Amazon EC2 Auto Scaling

AWS CloudFormation

Amazon CloudFront

AWS CloudTrail

AWS CodeBuild

AWS Config

AWS Database Migration Service

Amazon DynamoDB

Amazon EC2

Amazon ECR

Amazon ECS

Amazon EFS

Amazon EKS

AWS Elastic Beanstalk

Elastic Load Balancing

Amazon EMR

Amazon ES

Amazon GuardDuty

AWS Identity and Access Management

Amazon Kinesis

AWS Key Management Service

AWS Lambda

AWS Network Firewall

Amazon OpenSearch Service (Servicio)

Amazon Relational Database Service

Amazon Redshift

Amazon Simple Storage Service

Amazon SageMaker

AWS Secrets Manager

Amazon Simple Notification Service

Amazon Simple Queue Service

Amazon EC2 Systems Manager

AWS WAF

[ACM.1] Los certificados de importados y emitidos por ACM deben renovarse después de un período de tiempo especificado

Categoría: Proteger - Protección de datos en tránsito

Gravedad edad: Media

Tipo de recurso: AWS::ACM::Certificate

Regla de AWS Config: acm-certificate-expiration-check

Type: Schedule Cambio activado

Parámetros:

  • daysToExpiration: 30

Este control comprueba si los certificados de ACM de su cuenta están marcados para que venzan en un plazo de 30 días. Comprueba tanto los certificados importados como los certificados proporcionados por AWS Certificate Manager.

ACM puede renovar automáticamente los certificados que utilizan la validación de DNS. Para los certificados que utilizan la validación por correo electrónico, debe responder a un correo electrónico de validación de dominio. ACM tampoco renueva automáticamente los certificados que se importan. Debe renovar los certificados importados manualmente.

Para obtener más información sobre la renovación administrada de certificados de ACM, consulteRenovación administrada para certificados de ACMen laAWS Certificate ManagerGuía del usuario de.

nota

Este control no se admite en las siguientes regiones.

  • África (Ciudad del Cabo)

  • China (Pekín)

  • China (Ningxia)

  • Europa (Milán)

Corrección

ACM proporciona renovación administrada para los certificados SSL/TLS emitidos por Amazon. Esto significa que ACM renueva sus certificados de forma automática (si utiliza la validación por DNS) o le envía avisos por correo electrónico cuando se acerca el vencimiento del certificado. Estos servicios se prestan tanto para certificados de ACM públicos como privados.

Para dominios validados por correo electrónico

Cuando faltan 45 días para el vencimiento del certificado, ACM envía al propietario del dominio un correo electrónico por cada nombre de dominio. Para validar los dominios y completar la renovación, debe responder a las notificaciones por correo electrónico.

Para obtener más información, consulteRenovación de dominios validados por correo electrónicoen laAWS Certificate ManagerGuía del usuario de.

Para dominios validados por DNS

ACM renueva automáticamente los certificados que utilizan la validación de DNS. 60 días antes del vencimiento, ACM verifica que el certificado se pueda renovar.

Si no puede validar un nombre de dominio, ACM envía una notificación de que se requiere validación manual. Envía estas notificaciones 45 días, 30 días, 7 días y 1 día antes del vencimiento.

Para obtener más información, consulteRenovación de dominios validados por DNSen laAWS Certificate ManagerGuía del usuario de.

[ApiGateway.1] API Gateway REST y WebSocket El registro de la API debe estar habilitado

Categoría: Identificar - Registro

Gravedad: Media

Tipo de recurso: AWS::ApiGateway::Stage,AWS::ApiGatewayV2::Stage

Regla de AWS Config: api-gw-execution-logging-enabled

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si todas las etapas de una REST de Amazon API Gateway o WebSocket La API tiene el registro habilitado. El control falla si el registro no está habilitado para todos los métodos de una etapa o siloggingLevelno es niERRORniINFO.

REST de API Gateway WebSocket Las etapas de API deben tener habilitados los registros relevantes. REST de API Gateway WebSocket El registro de ejecución de API proporciona registros detallados de las solicitudes realizadas a API Gateway REST y WebSocket Fases de API. Las etapas incluyen respuestas de backend de integración de API, respuestas del autorizador de Lambda yrequestIdparaAWSpuntos finales de integración.

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • Europa (Milán)

Corrección

Para habilitar el registro de REST y WebSocket Operaciones de API, consulteConfigurar CloudWatch Registro de API mediante la consola de API Gatewayen laGuía para desarrolladores de API Gateway.

[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de backend

Categoría: Proteger > Protección de los datos

Gravedad: Media

Tipo de recurso: AWS::ApiGateway::Stage

Regla de AWS Config: api-gw-ssl-enabled

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si las etapas de la API REST de Amazon API Gateway tienen certificados SSL configurados. Los sistemas de backend usan estos certificados para autenticar que las solicitudes entrantes provienen de API Gateway.

Las etapas de API REST de API Gateway deben configurarse con certificados SSL para permitir que los sistemas de backend autentiquen que las solicitudes se originan en API Gateway.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Para obtener instrucciones detalladas sobre cómo generar y configurar certificados SSL de API REST API Gateway, consulteGenerar y configurar un certificado SSL para la autenticación de backenden laGuía para desarrolladores de API Gateway.

[ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Rayrastreo habilitado

Categoría: Detectar - Servicios de detección

Gravedad: Baja

Tipo de recurso: AWS::ApiGateway::Stage

Regla de AWS Config: api-gw-xray-enabled

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba siAWS X-Rayel seguimiento activo está habilitado para las etapas de la API REST de Amazon API Gateway.

El trazado activo de X-Ray permite una respuesta más rápida a los cambios de rendimiento en la infraestructura subyacente. Los cambios en el rendimiento podrían provocar una falta de disponibilidad de la API. El seguimiento activo de X-Ray proporciona métricas en tiempo real de las solicitudes de los usuarios que fluyen a través de las operaciones de API REST de API Gateway

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para obtener instrucciones detalladas sobre cómo habilitar el seguimiento activo de X-Ray para las operaciones de la API REST de API Gateway, consulteCompatibilidad de seguimiento activo de Amazon API Gateway paraAWS X-Rayen laAWS X-RayGuía para desarrolladores.

[ApiGateway.4] API Gateway debe asociarse a unAWS WAFACL de de

Categoría: Proteger - Servicios de protección

Gravedad: Media

Tipo de recurso: AWS::ApiGateway::Stage

Regla de AWS Config: api-gw-associated-with-waf

Tipo programación Cambios activados

Parámetros: Ninguno

Este control comprueba si una etapa de API Gateway utiliza unAWS WAFlista de control de acceso (ACL) de Web. Este control falla si unAWS WAFla ACL web no está conectada a una etapa de API Gateway REST

AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y las API de ataques. Le permite configurar una ACL, que es un conjunto de reglas que permite, bloquea o cuenta las solicitudes web en función de las reglas de seguridad web personalizables y las condiciones que se definan. Asegúrese de que la etapa de API Gateway esté asociada a unAWS WAFACL web para ayudar a protegerla de ataques maliciosos.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Para obtener información sobre cómo utilizar la consola de API Gateway para asociar unAWS WAFACL web regional con una etapa de la API Gateway existente, consulteUso deAWS WAFpara proteger sus APIen laGuía para desarrolladores de API Gateway.

[APIGateway.5] Los datos de caché de API REST de API Gateway deben cifrarse en reposo

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Gravedad: Media

Tipo: AWS::ApiGateway::Stage

AWS ConfigRegla de : api-gw-cache-encrypted (Regla personalizada desarrollada por Security Hub)

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si todos los métodos de las etapas de API REST de API Gateway que tienen habilitada la memoria caché están cifrados. El control falla si algún método de una etapa de API REST de API Gateway está configurado para almacenar en caché y la caché no está cifrada.

El cifrado de datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el discoAWS. Añade otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para descifrar los datos antes de que se puedan leer.

Las cachés de API REST de API Gateway deben cifrarse en reposo para obtener una capa adicional de seguridad.

Corrección

Para corregir este control, configure la etapa para cifrar los datos de la caché.

Para configurar el almacenamiento en caché de la API para una determinada etapa

  1. Abra la consola de Amazon API Gateway en https://console.aws.amazon.com/apigateway.

  2. Elija la API.

  3. Elija Stages (Etapas).

  4. En el navegadorEtapaspara la API, elija la etapa a la que desea añadir el almacenamiento en caché.

  5. Elija Settings.

  6. Elija Enable API cache (Habilitar caché de API).

  7. Actualice la configuración deseada y, a continuación, seleccioneCifrar datos de la caché.

  8. Elija Save changes (Guardar cambios).

[AutoScaling.1] Los grupos de Auto Scaling asociados con un balanceador de carga deben usar comprobaciones de estado del balanceador de carga

Categoría: Identificar - Inventario

Gravedad de gravedad Baja

Tipo: AWS::AutoScaling::AutoScalingGroup

Regla de AWS Config: autoscaling-group-elb-healthcheck-required

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si sus grupos de Auto Scaling que están asociados a un balanceador de carga utilizan comprobaciones de estado de Elastic Load Balancing.

De este modo, se garantiza que el grupo pueda determinar el estado de una instancia en función de las pruebas adicionales proporcionadas por el balanceador de carga. El uso de las comprobaciones de estado de Elastic Load Balancing puede ayudar a respaldar la disponibilidad de aplicaciones que utilizan grupos de EC2 Auto Scaling

Corrección

Para solucionar este problema, actualice los grupos de Auto Scaling para que utilicen las comprobaciones de estado de Elastic Load Balancing

Para habilitar las comprobaciones de estado de Elastic

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, en, enAuto Scaling, eligeGrupos de Auto Scaling.

  3. Seleccione la casilla del grupo de correspondiente.

  4. Elija Edit (Editar).

  5. UNDERComprobaciones de estado, paraTipo de comprobación de estado, eligeELB.

  6. En Health check grace period (Período de gracia de la comprobación de estado), escriba 300.

  7. En la parte inferior de la página, elija Update.

Para obtener más información sobre el uso de un balanceador de carga con un grupo de Auto Scaling, consulte laAWS Auto ScalingGuía del usuario de.

[AutoScaling.2] El grupo de Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad de gravedad Media

Tipo: AWS::AutoScaling::AutoScalingGroup

Regla de AWS Config: autoscaling-multiple-az

Tipo: programación: Cambios activados

Parámetros: Ninguno

Este control comprueba si un grupo de Auto Scaling abarca varias zonas de disponibilidad. El control falla si un grupo de Auto Scaling no abarca varias zonas de disponibilidad.

Los grupos de Amazon EC2 Auto Scaling se pueden configurar para que usen varias zonas de disponibilidad. Se prefiere un grupo de Auto Scaling con una sola zona de disponibilidad en algunos casos de uso, como los trabajos por lotes o cuando los costos de transferencia entre zonas de disponibilidad deben mantenerse al mínimo. Sin embargo, un grupo de Auto Scaling que no abarque varias zonas de disponibilidad no lanzará instancias en otra zona de disponibilidad para compensar si la zona de disponibilidad única configurada deja de estar disponible.

Corrección

Para obtener información sobre cómo añadir zonas de disponibilidad a un grupo de escalado auto existente, consulteZonas de disponibilidaden laGuía del usuario de Amazon EC2 Auto Scaling.

[AutoScaling.3] El grupo de Auto Scaling debe configurar las instancias EC2 para requerir Servicio de metadatos de instancia versión 2 (IMDSv2)

Categoría: Proteger - Configuración de red segura

Gravedad de gravedad Alta

Tipo de recurso: AWS::AutoScaling::LaunchConfiguration

Regla de AWS Config: autoscaling-launchconfig-requires-imdsv2

Tipo de programación: Cambios activados

Parámetros: Ninguno

Este control comprueba si IMDSv2 está habilitado en todas las instancias lanzadas por los grupos de Amazon EC2 Auto Scaling. El control falla si la versión del Servicio de metadatos de instancia (IMDS) no se incluye en la configuración de lanzamiento o si IMDSv1 e IMDSv2 están habilitados.

IMDS proporciona datos sobre una instancia que se pueden utilizar para configurar o administrar la instancia en ejecución.

La versión 2 del IMDS añade nuevas protecciones que no estaban disponibles en IMDSv1 para proteger aún más las instancias de EC2.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Un grupo de Auto Scaling se asocia con una configuración de lanzamiento cada vez. No puede modificar una configuración de lanzamiento después de crearla. Para cambiar la configuración de lanzamiento de un grupo de Auto Scaling, utilice una configuración de lanzamiento existente como punto de partida para una nueva configuración de lanzamiento con IMDSv2 habilitado. Para obtener más información, consulteConfigurar las opciones de metadatos para instancias nuevasen laGuía del usuario de Amazon EC2 para instancias de Linux.

[AutoScaling.4] La configuración de lanzamiento del grupo de Auto Scaling no debe tener un límite de salto de respuesta de metadatos1

Categoría: Proteger - Configuración de red segura

Gravedad de gravedad Alta

Tipo de recurso: AWS::AutoScaling::LaunchConfiguration

Regla de AWS Config: autoscaling-launch-config-hop-limit

Tipo de programación: Cambios activados

Parámetros: Ninguno

Este control comprueba la cantidad de saltos de red que puede viajar un token de metadatos. El control falla si el límite de saltos de respuesta de metadatos es mayor que1.

Instance Metadata Service (IMDS) proporciona información de metadatos sobre una instancia de Amazon EC2 y es útil para la configuración de aplicaciones. Restricción del protocolo HTTPPUTrespuesta para el servicio de metadatos solo a la instancia de EC2 protege el IMDS del uso no autorizado.

El campo Tiempo de vida (TTL) del paquete IP se reduce en uno en cada salto. Esta reducción se puede utilizar para garantizar que el paquete no viaje fuera de EC2. IMDSv2 protege las instancias de EC2 que pueden haberse configurado incorrectamente como enrutadores abiertos, firewalls de capa 3, VPN, túneles o dispositivos NAT, lo que impide que los usuarios no autorizados recuperen metadatos. Con IMDSv2, elPUTla respuesta que contiene el token secreto no puede viajar fuera de la instancia porque el límite de saltos de respuesta de metadatos predeterminado está establecido en1. Sin embargo, si este valor es mayor que1, el token puede abandonar la instancia de EC2.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Para obtener instrucciones detalladas sobre cómo modificar el límite de saltos de respuesta de metadatos para una configuración de lanzamiento existente, consulteConfigurar las opciones de metadatos para instancias existentesen laGuía del usuario de Amazon EC2 para instancias de Linux.

[AutoScaling.5] Las instancias de Amazon EC2 lanzadas con configuraciones de lanzamiento de grupos de Auto Scaling no deben tener direcciones IP públicas

Categoría: Proteger - Configuración de red segura

Gravedad de gravedad Alta

Tipo de recurso: AWS::AutoScaling::LaunchConfiguration

Regla de AWS Config: autoscaling-launch-config-public-ip-disabled

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si la configuración de lanzamiento asociada a un grupo de Auto Scaling asigna undirección IP públicaa las instancias del grupo. El control falla si la configuración de lanzamiento asociada asigna una dirección IP pública.

Las instancias de Amazon EC2 en una configuración de lanzamiento de grupo de Auto Scaling no deben tener una dirección IP pública asociada, excepto en casos extremos limitados. Solo se debe acceder a las instancias de Amazon EC2 desde detrás de un equilibrador de carga en lugar de exponerse directamente a Internet.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • Asia-Pacífico (Osaka)

  • AWS GovCloud (EE. Este)

  • AWS GovCloud (EE. Este)

Corrección

Un grupo de Auto Scaling se asocia con una configuración de lanzamiento cada vez. No puede modificar una configuración de lanzamiento después de haberla creado. Para cambiar la configuración de lanzamiento de un grupo de Auto Scaling, utilice una configuración de lanzamiento existente como punto de partida para una nueva configuración de lanzamiento. A continuación, actualice el grupo de Auto Scaling para utilizar la nueva configuración de lanzamiento como se describe en los pasos siguientes.

Después de cambiar la configuración de lanzamiento de un grupo de Auto Scaling, las nuevas instancias se lanzan con las nuevas opciones de configuración. Las instancias existentes no se ven afectadas. Para actualizar las instancias existentes, termínelas de forma que se sustituyan por el grupo de Auto Scaling o permita que el escalado automático reemplace gradualmente las instancias más antiguas por instancias más recientes en función de supolíticas de terminación.

Para habilitar las comprobaciones de estado de Elastic

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, en, enAuto Scaling, eligeConfiguraciones de lanzamiento.

  3. Seleccione la configuración de lanzamiento y elijaActions, luegoConfiguración de lanzamiento de copia. Se definirá una nueva configuración de lanzamiento con las mismas opciones que la original, pero con el texto "Copy" añadido al nombre.

  4. En la páginaCrear una configuración de lanzamiento, expandaDetalles avanzadosUNDERConfiguración adicional: opcional.

  5. UNDERTipo de dirección IP, eligeNo asigne una dirección IP pública a ninguna instancia.

  6. Cuando haya terminado, seleccioneCrear una configuración de lanzamiento.

  7. En el panel de navegación, seleccione Auto Scaling y elija Auto Scaling Groups (Grupos de Auto Scaling).

  8. Seleccione la casilla del grupo de Auto Scaling correspondiente.

  9. Se abre un panel dividido en la parte inferior de la página, que muestra información sobre el grupo seleccionado.

  10. En la pestaña Details (Detalles) elija Launch configuration Configuración de lanzamiento, Edit (Editar).

  11. En Configuración de lanzamiento (Launch configuration), seleccione la nueva configuración de lanzamiento.

  12. Cuando haya terminado de cambiar la configuración de lanzamiento, elijaActualización.

[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en varias zonas de disponibilidad

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: Media

Tipo de recurso AWS::AutoScaling::AutoScalingGroup

Regla de AWS Config: autoscaling-multiple-instance-types

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si un grupo de Amazon EC2 Auto Scaling utiliza varios tipos de instancia. El control falla si el grupo de Auto Scaling solo tiene un tipo de instancia definido.

Puede mejorar la disponibilidad si implementa la aplicación en varios tipos de instancia que se ejecutan en varias zonas de disponibilidad. Security Hub recomienda el uso de varios tipos de instancias para que el grupo de Auto Scaling pueda lanzar otro tipo de instancia si no hay suficiente capacidad en las zonas de disponibilidad elegidas.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. Este)

  • AWS GovCloud (EE. Este)

Corrección

Para obtener instrucciones detalladas sobre cómo modificar el límite de saltos de respuesta de metadatos para una configuración de lanzamiento existente, consulteConfigurar las opciones de metadatos para instancias existentesen laGuía del usuario de Amazon EC2 para instancias de LinuxyConfigurar las opciones de metadatos para instancias existentesen laGuía del usuario de Amazon EC2 para instancias de Windows.

[CloudFormation.1] CloudFormation Las pilas de deben integrarse con Simple Notification Service (SNS)

Categoría: Detectar - Servicios de detección - Supervisión de aplicaciones

Gravedad: Baja

Tipo de recurso AWS::CloudFormation::Stack

Regla de AWS Config: cloudformation-stack-notification-check

Tipo de programación Cambios activados

Parámetros:

  • SNSTopic1: 30

  • SNSTopic2: 30

  • SNSTopic3: 30

  • SNSTopic4: 30

  • SNSTopic5: 30

  • (Optional): SNS topic ARN: 30

Este control comprueba si una notificación de Amazon Simple Notification Service está integrada con un CloudFormationpila. El control falla durante un CloudFormation pila si no hay ninguna notificación de SNS asociada a ella.

Configuración de una notificación de SNS con su CloudFormation stack ayuda a notificar inmediatamente a las partes interesadas de cualquier evento o cambio que se produzca en la pila.

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Hong Kong)

  • Asia-Pacífico (Yakarta)

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • Europa (Milán)

  • Europe (Paris)

  • Europe (Stockholm)

  • Medio Oriente (Baréin)

  • AWS GovCloud (EE. Este)

  • AWS GovCloud (EE. Este)

Corrección

Para obtener información acerca de cómo actualizar un CloudFormation stack, consulteAWS CloudFormationActualizaciones de pila deen laAWS CloudFormationGuía del usuario de .

[CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

Categoría: Proteger - Administración de acceso seguro - Recursos no accesibles públicamente

Gravedad: Critical

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config: cloudfront-default-root-object-configured

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba si un Amazon CloudFront está configurada para devolver un objeto específico que es el objeto raíz predeterminado. El control falla si el CloudFront no tiene configurado un objeto raíz predeterminado.

En ocasiones, un usuario puede solicitar la URL raíz de la distribución en lugar de un objeto de la distribución. Cuando esto ocurre, especificar un objeto raíz predeterminado puede ayudarle a evitar la exposición del contenido de su distribución web.

nota

Este (Norte de Virginia).

Corrección

Para obtener instrucciones detalladas sobre cómo especificar un objeto raíz predeterminado para su distribución, consulteCómo especificar un objeto raíz predeterminadoen laAmazon CloudFront Guía para desarrolladores.

[CloudFront.5] CloudFront las distribuciones deben tener habilitada la identidad de acceso al origen

Categoría: Proteger - Administración de acceso seguro - Configuración de políticas de recursos

Gravedad: Media

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config: cloudfront-origin-access-identity-enabled

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba si un Amazon CloudFront La distribución con el tipo de origen de Amazon S3 tiene configurada Origin Access Identity (OAI). El control falla si la OAI no está configurada.

CloudFront La OAI impide que los usuarios accedan directamente al contenido del bucket de S3. Cuando los usuarios acceden directamente a un bucket de S3, omiten de manera efectiva el CloudFront distribución y los permisos que se aplican al contenido del bucket de S3 subyacente.

nota

Este (Norte de Virginia).

Corrección

Para obtener instrucciones detalladas de corrección, consulte.Creación de un valor CloudFront OAI y agregarla a la distribuciónen laAmazon CloudFront Guía para desarrolladores.

[CloudFront.5] CloudFront las distribuciones deben requerir cifrado en tránsito

Categoría: Proteger - Protección de datos en tránsito

Gravedad edad: Media

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config: cloudfront-viewer-policy-https

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba si un Amazon CloudFront requiere que los espectadores usen HTTPS directamente o si usa la redirección. El control falla siViewerProtocolPolicytoma el valorallow-allparadefaultCacheBehavioro paracacheBehaviors.

HTTPS (TLS) se puede usar para ayudar a evitar que los posibles atacantes usen person-in-the-middleo ataques similares para espiar o manipular el tráfico de la red. Solo deben permitirse conexiones cifradas sobre HTTPS (TLS). El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta función para comprender el perfil de rendimiento y el impacto de TLS.

nota

Este (Norte de Virginia).

Corrección

Para obtener instrucciones detalladas de corrección, consulte.Exigir HTTPS para la comunicación entre lectores y CloudFronten laAmazon CloudFront Guía para desarrolladores.

[CloudFront.5] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad edad: Baja

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config: cloudfront-origin-failover-enabled

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si un Amazon CloudFront se configura con un grupo de origen que tiene dos o más orígenes.

CloudFront la conmutación por error de origen puede aumentar la disponibilidad. La conmutación por error de origen redirige automáticamente el tráfico a un origen secundario si el origen principal no está disponible o si devuelve códigos de estado de respuesta HTTP específicos.

nota

Este (Norte de Virginia).

Corrección

Para obtener instrucciones detalladas de corrección, consulte.Creación de un grupo de origenen laAmazon CloudFront Guía para desarrolladores.

[CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

Categoría: Identificar - Registro

Gravedad edad: Media

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config: cloudfront-accesslogs-enabled

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control de comprueba si el registro de acceso al servidor de está habilitado en CloudFront Distribuciones. El control falla si el registro de acceso no está habilitado para una distribución.

CloudFront Los registros de acceso proporcionan información detallada sobre cada solicitud de usuario que CloudFront recibe. Cada registro contiene información como la fecha y la hora en que se recibió la solicitud, la dirección IP del espectador que realizó la solicitud, el origen de la solicitud y el número de puerto de la solicitud del espectador.

Estos registros son útiles para aplicaciones como, por ejemplo, auditorías de seguridad y acceso e investigación forense. Para obtener más información sobre cómo analizar los registros de acceso, consulteConsultas de Amazon CloudFront Registros deen laGuía del usuario de Amazon Athena.

nota

Este (Norte de Virginia).

Corrección

Para obtener información sobre cómo configurar el registro de acceso para un CloudFront distribución, consulteConfiguración y uso de registros estándar (registros de acceso)en laAmazon CloudFront Guía para desarrolladores.

[CloudFront.5] CloudFront las distribuciones de deberían tenerAWS WAFenabled

Categoría: Proteger - Servicios de protección

Gravedad edad: Media

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config: cloudfront-associated-with-waf

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si CloudFront las distribuciones están asociadas conAWS WAFoAWS WAFACL web v2. El control falla si la distribución no está asociada a una ACL web.

AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y las API de ataques. Le permite configurar un conjunto de reglas, denominado lista de control de acceso web (Web ACL), que permite, bloquea o cuenta solicitudes web en función de las reglas de seguridad web personalizables y las condiciones que se definan. Asegúrese de que su CloudFront está asociada a unAWS WAFACL web para ayudar a protegerla de ataques maliciosos.

nota

Este control solo se admite en EE. UU. Este (Norte de Virginia).

Corrección

Para obtener información acerca de cómo asociar una ACL web a un CloudFront distribución, consulteUso deAWS WAFpara controlar el acceso al contenidoen laAmazon CloudFront Guía para desarrolladores.

[CloudFront.7] CloudFront las distribuciones de deben usar certificados SSL/TLS personalizados

Categoría: Proteger - Cifrado de data-in-transit

Gravedad edad: Media

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config: cloudfront-custom-ssl-certificate

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si CloudFront las distribuciones utilizan el certificado SSL/TLS predeterminado CloudFront proporciona. Este control pasa si el CloudFront utiliza un certificado SSL/TLS personalizado. Este control falla si el CloudFront utiliza el certificado SSL/TLS predeterminado.

Los SSL/TLS personalizados permiten a los usuarios acceder al contenido mediante nombres de dominio alternativos. Puede almacenar certificados personalizados enAWS Certificate Manager(recomendado) o en IAM.

nota

Este control solo se admite en EE. UU. Este (Norte de Virginia).

Corrección

Para añadir un nombre de dominio alternativo mediante un certificado SSL/TLS personalizado para tu CloudFront distribuciones, consulteAñadir un nombre de dominio alternativoen laAmazon CloudFront Guía para desarrolladores.

[CloudFront.8] CloudFront las distribuciones de deben usar SNI para atender solicitudes HTTPS

Categoría: Proteger - Configuración de red segura

Gravedad edad: Baja

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config: cloudfront-sni-enabled

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si Amazon CloudFront utilizan un certificado SSL/TLS personalizado y están configuradas para usar SNI para atender solicitudes HTTPS. Este control falla si se asocia un certificado SSL/TLS personalizado, pero el método de soporte de SSL/TLS es una dirección IP dedicada.

Server Name Indication (SNI) (Indicación de nombre de servidor [SNI]) es una extensión del protocolo TLS que admiten los navegadores y clientes disponibles desde 2010. Si configura CloudFront para atender solicitudes HTTPS mediante SNI, CloudFront asocia su nombre de dominio alternativo a una dirección IP para cada ubicación de borde. Cuando un espectador envía una solicitud HTTPS de contenido, el servicio DNS dirige la solicitud a la dirección IP de la ubicación de borde correcta. La dirección IP de su nombre de dominio se determina durante la negociación del protocolo SSL/TLS; la dirección IP no es exclusiva de su distribución.

nota

Este control solo se admite en EE. UU. Este (Norte de Virginia).

Corrección

Para configurar el campo de CloudFront distribuciones para usar SNI para atender solicitudes HTTPS, consulteUso de SNI para atender solicitudes HTTPS (funciona en la mayoría de los clientes)en la CloudFront Guía para desarrolladores de .

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados

Categoría: Proteger - Cifrado de data-in-transit

Gravedad edad: Media

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config: cloudfront-traffic-to-origin-encrypted

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si Amazon CloudFront las distribuciones cifran el tráfico en orígenes personalizados. Este control falla durante un CloudFront distribución cuya política de protocolo de origen permite «solo http». Este control también falla si la política de protocolo de origen de la distribución es 'match-viewer' mientras que la política de protocolo viewer es 'allow-all'.

Se puede usar HTTPS (TLS) para ayudar a evitar el espionaje o la manipulación del tráfico de red. Solo deben permitirse conexiones cifradas sobre HTTPS (TLS).

nota

Este control solo se admite en EE. UU. Este (Norte de Virginia).

Corrección

Para actualizar la Política de protocolo de origen para exigir el cifrado de CloudFront conexiones, consulteExigir HTTPS para la comunicación entre CloudFront y tu origen personalizadoen laAmazon CloudFront Guía para desarrolladores.

[CloudFront.10] CloudFront las distribuciones no deben usar protocolos SSL en desuso entre las ubicaciones de borde y los orígenes personalizados

Categoría: Proteger - Cifrado de data-in-transit

Gravedad edad: Media

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config: cloudfront-no-deprecated-ssl-protocols

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si Amazon CloudFront las distribuciones utilizan protocolos SSL en desuso para la comunicación HTTPS entre CloudFront ubicaciones de borde y sus orígenes personalizados. Este control falla si un CloudFront la distribución tiene unCustomOriginConfigwhereOriginSslProtocolsincludesSSLv3.

En 2015, el Grupo de trabajo de ingeniería de Internet (IETF) anunció oficialmente que SSL 3.0 debería quedar obsoleto debido a que el protocolo no era lo suficientemente seguro. Se recomienda utilizar TLSv1.2 o posterior para la comunicación HTTPS con sus orígenes personalizados.

nota

Este control solo se admite en EE. UU. Este (Norte de Virginia).

Corrección

Para actualizar los protocolos SSL de Origin para tu CloudFront distribuciones, consulteExigir HTTPS para la comunicación entre CloudFront y tu origen personalizadoen laAmazon CloudFront Guía para desarrolladores.

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro de seguimiento de varias regiones que incluya eventos de administración de lectura y escritura

Categoría: Identificar - Registro

Gravedad edad: Alta

Tipo de recurso: AWScuenta

Regla de AWS Config: multi-region-cloudtrail-enabled

Type: Schedule Periódico

Parámetros:

  • readWriteType: ALL

Este control comprueba que haya al menos una en varias regiones CloudTrail seleccionar. También comprueba que elExcludeManagementEventSourcesestá vacío para al menos una de esas rutas.

AWS CloudTrail registra las llamadas a la API de AWS de la cuenta y le entrega archivos de registro. La información registrada incluye lo siguiente.

  • Identidad del intermediario de la API

  • Hora de la llamada a la API

  • Dirección IP de origen de la persona que llama a la API

  • Parámetros de solicitud

  • Elementos de respuesta devueltos por el servicio de AWS.

CloudTrail proporciona un historial deAWSLas llamadas a la la la la API realizadas en laAWS Management Console,AWSSDK, herramientas de línea de comandos. El historial también incluye llamadas de la API desde servicios de AWS de nivel superior como AWS CloudFormation.

LaAWSHistorial de llamadas a la API producido por CloudTrail permite realizar análisis de seguridad, seguimientos de cambios en los recursos y auditorías de conformidad. Los registros de seguimiento de varias regiones también ofrecen los siguientes beneficios.

  • Un registro de seguimiento de varias regiones ayuda a detectar la actividad inesperada que ocurre en regiones que no se utilizan.

  • Un registro de seguimiento de eventos de varias regiones garantiza que el registro de servicios globales esté habilitado para un registro de seguimiento de forma predeterminada. El registro de eventos de servicios globales registra los eventos generados por servicios globales de AWS.

  • Para un registro de seguimiento de varias regiones, los eventos de administración para todas las operaciones de lectura y escritura garantizan que CloudTrail registre las operaciones de administración en todos los recursos de una cuenta de AWS.

Por defecto, CloudTrail rutas que se crean con elAWS Management Consoleson senderos multirregionales.

Corrección

Para solucionar este problema, cree un nuevo registro de seguimiento de varias regiones en CloudTrail.

Para crear un nuevo registro de seguimiento en CloudTrail

  1. Abra el icono CloudTrail Consola de:https://console.aws.amazon.com/cloudtrail/.

  2. Si no ha utilizado CloudTrail antes, eligeComedule.

  3. Elija Trails (Registros de seguimiento) y, a continuación, elija Create trail (Crear registro de seguimiento).

  4. Escriba un nombre para el registro de seguimiento.

  5. En Storage location (Ubicación de almacenamiento), haga una de estas operaciones:

    1. Para crear un nuevo bucket de S3 para CloudTrail logs, paraCree un nuevo bucket de S3, eligey, a continuación, especifique un nombre para el nuevo bucket de S3.

    2. Para utilizar un bucket de S3 existente, paraCree un nuevo bucket de S3, eligeNoy, a continuación, seleccione el depósito de S3 que desee usar.

  6. UNDERAjustes adicionales, eligeAvanzado. ParaActivar la validación de archivos de registroseleccionar seleccionar seleccionar seleccionarEnabled (Habilitado).

  7. Seleccione Create (Crear).

Para actualizar un registro de seguimiento existente en CloudTrail

  1. Abra el icono CloudTrail Consola de:https://console.aws.amazon.com/cloudtrail/.

  2. Elija Trails (Registros de seguimiento).

  3. Elija el nombre del registro de seguimiento en la columna Name (Nombre).

  4. En Management events (Eventos de administración), elija Edit (Editar).

  5. ParaEventos de lectura/escrituraseleccionar seleccionar seleccionar seleccionarEventos de administración.

  6. UNDERActividad de la APIseleccionar seleccionar seleccionar seleccionarLecturayEscritura.

[CloudTrail.5] CloudTrail debe tener habilitado el cifrado en reposo de

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Gravedad edad: Media

Tipo de recurso: AWS::CloudTrail::Trail

Regla de AWS Config: cloud-trail-encryption-enabled

Type: Schedule Periódico

Parámetros: Ninguno

Este control comprueba si CloudTrail está configurado para usar el cifrado del lado del servidor (SSE)AWS KMS key. La comprobación solo se supera si se ha definido KmsKeyId.

Para una capa adicional de seguridad para sus CloudTrail archivos de registro, debe usarcifrado del lado del servidor conAWS KMSclaves administradas por (SSE-KMS)para seleccionar, seleccionar CloudTrail archivos de registro para el cifrado en reposo. Tenga en cuenta que, de forma predeterminada, los archivos de registro que entrega CloudTrail a tus depósitos están cifrados porCifrado del lado del servidor de Amazon con claves de cifrado administradas por Amazon S3 (SSE-S3).

Corrección

Para solucionar este problema, actualice su seguimiento de para habilitar el cifrado SSE-KMS para los archivos de registro de.

Para habilitar el cifrado para CloudTrail Registros de

  1. Abra el icono CloudTrail Consola de:https://console.aws.amazon.com/cloudtrail/.

  2. Elija Trails (Registros de seguimiento).

  3. Elija el registro de seguimiento que se va a actualizar.

  4. UNDERDetalles generales, eligeEditar.

  5. ParaCifrado SSE-KMSseleccionar seleccionar seleccionar seleccionarEnabled (Habilitado).

  6. En Create a new KMS key (Crear una nueva clave de KMS), realice una de las siguientes operaciones:

    • Para crear una clave, eligeNuevo. Luego, enAWS KMSalias, introduzca un alias para la clave. La clave se crea en la misma región en la que se encuentra el bucket de S3.

    • Para utilizar una clave existente, seleccioneExistentey, después, deAWS KMSalias, elija la clave.

      La clave de AWS KMS y el bucket de S3 deben estar en la misma región.

  7. Seleccione Save (Guardar).

    Es posible que deba modificar la política de CloudTrail para interactuar correctamente con la clave de KMS. Para obtener más información, consulteCifrado de CloudTrail Archivos de log conAWS KMSclaves administradas por (SSE-KMS)en laAWS CloudTrailGuía del usuario de.

[CloudTrail.4] Asegúrese CloudTrail la validación de archivos de registro está habilitada

Categoría: Protección de datos > integridad de los datos

Gravedad edad: Baja

Tipo de recurso: AWS::CloudTrail::Trail

Regla de AWS Config: cloud-trail-log-file-validation-enabled

Type: Schedule Periódico

Parámetros: Ninguno

Este control comprueba si la validación de la integridad del archivo de registro de está habilitada en un CloudTrailseleccionar.

CloudTrail La validación de archivos de registro de crea un archivo de resumen firmado digitalmente que contiene un hash de cada registro que CloudTrail escribe en Amazon S3. Puede utilizar estos archivos de resumen para determinar si un archivo de registro se ha modificado, eliminado o sigue igual después CloudTrail entregó el registro.

Security Hub recomienda que habilite la validación de archivos en todos los registros de seguimiento. La validación de archivos de registro proporciona comprobaciones de integridad adicionales CloudTrail troncos.

Para obtener más información, consulteActivación de la validación y los archivos de validaciónen laAWS CloudTrailGuía del usuario de.

Corrección

Para solucionar este problema, actualice su CloudTrail ruta para habilitar la validación de archivos de registro.

Para habilitar CloudTrail validación de archivos de registro

  1. Abra el icono CloudTrail Consola de:https://console.aws.amazon.com/cloudtrail/.

  2. Elija Trails (Registros de seguimiento).

  3. UNDERNombre, elija el nombre de un registro de seguimiento que se va a editar.

  4. UNDERDetalles generales, eligeEditar.

  5. UNDERAjustes adicionales, paraLa validación de los archivos, eligeEnabled (Habilitado).

  6. Elija Save changes (Guardar cambios).

Para obtener más información, consulteValidación CloudTrail integridad del archivo de registroen laAWS CloudTrailGuía del usuario de.

[CloudTrail.5] Asegúrese CloudTrail los registros de seguimiento están integrados con Amazon CloudWatch Registros

Categoría: Identificar - Registro

Gravedad edad: Baja

Tipo de recurso: AWS::CloudTrail::Trail

Regla de AWS Config: cloud-trail-cloud-watch-logs-enabled

Type: Schedule Periódico

Parámetros: Ninguno

Este control comprueba si CloudTrail los registros de seguimiento de están configurados para enviar registros a CloudWatch Registros. El control falla si elCloudWatchLogsLogGroupArnla propiedad del registro de seguimiento está vacía.

CloudTrail RegistrosAWSLas llamadas a la API de que se realizan en una determinada cuenta. La información registrada incluye lo siguiente:

  • La identidad del intermediario de la API

  • El momento de la llamada a la API

  • La dirección IP de origen del intermediario de la API

  • Los parámetros de solicitud

  • Los elementos de respuesta devueltos por elAWSServicio de

CloudTrail utiliza Amazon S3 para el almacenamiento y la entrega de archivos de registro. Puedes capturar CloudTrail inicia sesión en un depósito de S3 específico para un análisis a largo plazo. Para realizar análisis en tiempo real, puede configurar CloudTrail para enviar los registros CloudWatch Registros.

Para un registro de seguimiento que está habilitado en todas las regiones de en una cuenta, CloudTrail envía los archivos de registro de todas esas regiones a un CloudWatch Grupo de registros

Security Hub recomienda que envíe CloudTrail Los registros de en CloudWatch Registros. Tenga en cuenta que esta recomendación tiene como objetivo garantizar que la actividad de la cuenta se capture, supervise y tenga las alarmas adecuadas. Puede usar CloudWatch Registros para configurar esto con tuAWSServicios de . Esta recomendación no excluye el uso de una solución diferente.

Send CloudTrail Los registros de en CloudWatch Los registros de facilitan el registro de actividad históricos y en tiempo real en función del usuario, la API, el recurso y la dirección IP. Puede utilizar este enfoque para establecer alarmas y notificaciones en caso de que se produzcan actividades de la cuenta anómalas o delicadas.

Corrección

Puede utilizar la consola para habilitar CloudTrail Integración de con CloudWatch Registros.

Para habilitar CloudTrail Integración de con CloudWatch Registros

  1. Abra el icono CloudTrail Consola de:https://console.aws.amazon.com/cloudtrail/.

  2. Elija Trails (Registros de seguimiento).

  3. Elija el sendero que no tenga un valor paraCloudWatch Grupo de registros.

  4. En CloudWatch Registros, elija Editar.

  5. Seleccione Enabled.

  6. ParaGrupo de registros, lleve a cabo una de las siguientes operaciones:

    • Para utilizar el grupo de registro predeterminado, deje el nombre como está.

    • Para usar un grupo de registros existente, elijaExistentey, a continuación, escriba el nombre del grupo de registros que desea usar.

    • Para crear un nuevo grupo de registros, elijaNuevoy, a continuación, escriba un nombre para el grupo de registros que desea crear.

  7. En IAM role (Rol de IAM), realice una de las operaciones siguientes:

    • Para utilizar un rol de existente, elijaExistentey, a continuación, elija el rol en la lista desplegable.

    • Para crear un nuevo rol, elijaNuevoy, a continuación, especifique un nombre para el rol que desee crear. El nuevo rol se asigna a una política que concede los permisos necesarios.

    Para ver los permisos concedidos a la función, expandaDocumento de política.

  8. Elija Save changes (Guardar cambios).

Para obtener más información, consulteConfiguración CloudWatch Supervisión de registros con la consolaen laAWS CloudTrailGuía del usuario de.

[CodeBuild.1] CodeBuild GitHub o las URL del repositorio de origen de Bitbucket de deben usar OAuth

Categoría: Desarrollo seguro

Gravedad edad: Critical

Tipo de recurso: AWS::CodeBuild::Project

Regla de AWS Config: codebuild-project-source-repo-url-check

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si el GitHub o la URL del repositorio de código fuente de Bitbucket contiene tokens de acceso personales o un nombre de usuario y una contraseña.

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • Europa (Milán)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Las credenciales de autenticación nunca deben almacenarse o transmitirse en texto sin formato ni aparecer en la URL del repositorio. Debe usar OAuth en lugar de tokens de acceso personal o un nombre de usuario y una contraseña para conceder autorización para acceder GitHub o repositorios de Bitbucket. El uso de tokens de acceso personal o de un nombre de usuario y una contraseña podría poner en peligro sus credenciales debido a una exposición no intencionada de datos o por un acceso no autorizado.

Corrección

Puede actualizar su CodeBuild proyecto para usar OAuth.

Para quitar la autenticación básica/(GitHub) Token de acceso personal de CodeBuild Origen de proyecto

  1. Abra el icono CodeBuild Consola de:https://console.aws.amazon.com/codebuild/.

  2. Elija el proyecto de compilación que contiene tokens de acceso personales o un nombre de usuario y una contraseña.

  3. En Edit (Editar), elija Source (Origen).

  4. ElegirDesconectar GitHub /Bitbucket.

  5. ElegirConnect con OAuthy,, después,Connect to GitHub/Bitbucket.

  6. Cuando se le solicite, elija authorize as appropriate (autorizar según corresponda).

  7. Vuelva a configurar la URL de repositorio y los ajustes de la configuración adicional, según sea necesario.

  8. Elija Update source (Actualizar origen).

Para obtener más información, consulteCodeBuild Ejemplos basados en casos de uso deen laAWS CodeBuildGuía del usuario de.

[CodeBuild.5] CodeBuild Las variables de entorno del proyecto no deben contener credenciales de texto sin cifrar

Categoría: Desarrollo seguro

Gravedad: Critical

Tipo de recurso: AWS::CodeBuild::Project

Regla de AWS Config: codebuild-project-envvar-awscred-check

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si el proyecto contiene las variables de entorno AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY.

Las credenciales de autenticación AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY no deben almacenarse nunca en texto sin cifrar, ya que esto podría conducir a una exposición no intencionada de los datos y a un acceso no autorizado.

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • Europa (Milán)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para solucionar este problema, actualice su CodeBuild proyecto para quitar la variable de entorno.

Para eliminar variables de entorno de un CodeBuild Proyecto de

  1. Abra el icono CodeBuild Consola de:https://console.aws.amazon.com/codebuild/.

  2. Expanda Build (Compilación).

  3. Elija Build project (Proyecto de compilación) y, a continuación, elija el proyecto de compilación que contiene credenciales en texto sin cifrar.

  4. En Edit (Editar), seleccione Environment (Entorno).

  5. Expanda Additional configuration (Configuración adicional).

  6. Elija Remove (Eliminar) junto a la variable de entorno.

  7. Seleccione Update environment (Actualizar entorno).

Para almacenar valores confidenciales en el almacén de parámetros de Amazon EC2 Systems Manager y, a continuación, recuperarlos de la especificación de compilación

  1. Abra el icono CodeBuild console enhttps://console.aws.amazon.com/codebuild/.

  2. Expanda Build (Compilación).

  3. Elija Build project (Proyecto de compilación) y, a continuación, elija el proyecto de compilación que contiene credenciales en texto sin cifrar.

  4. En Edit (Editar), seleccione Environment (Entorno).

  5. Expanda Additional configuration (Configuración adicional) y desplácese hasta Environment variables (Variables de entorno).

  6. SeguirEste tipo de:para crear un parámetro de Systems Manager que contenga información confidencial.

  7. Después de crear el parámetro, copie el nombre del parámetro.

  8. De vuelta a CodeBuild consolaCrear variables ambientales.

  9. Escriba el nombre de la variable tal y como aparece en la especificación de compilación.

  10. En Value (Valor), pegue el nombre de su parámetro.

  11. En Type (Tipo), seleccione Parameter (Parámetro).

  12. Para eliminar la variable de entorno no conforme que contiene las credenciales de texto sin formato, elija Remove (Eliminar).

  13. Seleccione Update environment (Actualizar entorno).

Para obtener más información, consulteVariables de entorno en los entornos de compilaciónen laAWS CodeBuildGuía del usuario de.

[CodeBuild.5] CodeBuild los entornos de proyecto deben tener una configuración de registro

Categoría: Identificar - Registro

Gravedad: Media

Tipo de recurso: AWS::CodeBuild::Project

Regla de AWS Config: codebuild-project-logging-enabled

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si un CodeBuild el entorno del proyecto tiene al menos una opción de registro, ya sea en S3 o CloudWatch Tipo:::: Este control falla si un CodeBuild el entorno del proyecto no tiene habilitada al menos una opción de registro.

Desde el punto de vista de la seguridad, el registro es una característica importante para permitir future esfuerzos forenses en caso de cualquier incidente de seguridad. Correlacionar las anomalías en CodeBuild los proyectos con detecciones de amenazas pueden aumentar la confianza en la precisión de esas detecciones de amenazas.

Corrección

Para obtener más información sobre cómo configurar CodeBuild configuración del registro del proyecto, consulteCreación de un proyecto de compilación (consola)en la CodeBuild Guía del usuario de .

[CodeBuild.5] CodeBuild los entornos de proyecto no deben tener habilitado el modo privilegiado

Categoría: Proteger - Administración de acceso seguro

Gravedad: Alta

Tipo de recurso: AWS::CodeBuild::Project

Regla de AWS Config: codebuild-project-environment-privileged-check

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si unAWS CodeBuildel entorno del proyecto tiene habilitado el modo privilegiado. Este control falla cuando unAWS CodeBuildel entorno del proyecto tiene habilitado el modo privilegiado.

De forma predeterminada, los contenedores Docker no permiten el acceso a ningún dispositivo. El modo privilegiado otorga acceso al contenedor Docker de un proyecto de compilación a todos los dispositivos. Configuración deprivilegedModecon valortruepermite la ejecución del demonio Docker dentro de un contenedor Docker. El demonio de Docker escucha las solicitudes de la API de Docker y administra los objetos de Docker, como imágenes, contenedores, redes y volúmenes. Este parámetro solo debe establecerse en true si el proyecto de compilación se utiliza para compilar imágenes de Docker. De lo contrario, esta configuración debe deshabilitarse para evitar el acceso no intencionado a las API de Docker, así como al hardware subyacente del contenedor, como acceso no intencionado aprivilegedModepuede correr el riesgo de manipulación maliciosa o eliminación de recursos críticos.

Corrección

Para obtener más información sobre cómo configurar CodeBuild configuración del entorno del proyecto, consulteCreación de un proyecto de compilación (consola)en la CodeBuild Guía del usuario de

[Config.1] AWS Config debe estar habilitado

Categoría: Identificar - Inventario

Gravedad: Media

Tipo de recurso: AWScuenta

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

Parámetros: Ninguno

Este control comprueba si AWS Config está habilitado en la cuenta para la región local y si registra todos los recursos.

AWS Config es un servicio que se encarga de administrar la configuración de los recursos de AWS admitidos en la cuenta y le proporciona archivos de registro. La información registrada incluye el elemento de configuración (recurso de AWS), las relaciones entre elementos de configuración y cualquier cambio de configuración entre recursos.

Security Hub recomienda que habiliteAWS Configen todas las regiones El historial del elemento de configuración de AWS que AWS Config captura, permite realizar análisis de seguridad, seguimientos de cambios en los recursos y auditorías de conformidad.

nota

Como Security Hub es un servicio regional, la comprobación que se realiza con este control solo se aplica a la región actual de la cuenta. La comprobación no se realiza en todas las regiones.

Para permitir comprobaciones de seguridad con recursos globales en cada región, también debe registrar recursos globales. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Para obtener más información, consulteIntroducción alAWS Configen laAWS ConfigGuía para desarrolladores.

Corrección

Después de activarAWS Config, configúrelo para registrar todos los recursos.

Para configurar los ajustes de AWS Config

  1. Abra la consola de AWS Config en https://console.aws.amazon.com/config/.

  2. Seleccione la región en la que va a configurar AWS Config.

  3. Si no ha utilizadoAWS Configantes, consulteIntroducciónen laAWS ConfigGuía para desarrolladores.

  4. Vaya a la página Configuración en el menú y haga lo siguiente:

    • Elija Edit (Editar).

    • UNDERTipos de recursos para registrarseleccionar seleccionar seleccionar seleccionarRegistrar todos los recursos admitidos en esta regiónyIncluir recursos globales (por ejemplo,AWSRecursos de IAM).

    • UNDERPeriodo de retención de, elija el período de retención predeterminado paraAWS Configdatos o especifique un período de retención personalizado.

    • UNDERAWS Configrol de, eligeCrearAWS ConfigRol vinculado al servicio deo eligeElija un rol de su cuentay seleccione el rol que se va a utilizar.

    • En Amazon S3 bucket (Bucket de Amazon S3), especifique el bucket a usar o cree un bucket y, de forma opcional, incluya un prefijo.

    • UNDERTema de Amazon SNS, seleccione un tema de Amazon SNS de su cuenta o cree uno. Para obtener más información acerca de Amazon SNS, consulte laAmazon Simple Notification Service Getting Started Guide.

  5. Seleccione Save (Guardar).

Para obtener más información sobre el uso deAWS Configdesde lasAWS CLI, consulteActivación deAWS Configen laAWS ConfigGuía para desarrolladores.

También puede utilizar una plantilla de AWS CloudFormation para automatizar este proceso. Para obtener más información, consulte laAWS CloudFormation StackSets Plantilla de ejemploen laAWS CloudFormationGuía del usuario de.

[DMS.1]AWS Database Migration Servicelas instancias de replicación no deben ser públicas

Categoría: Proteger - Configuración de red segura

Gravedad: Critical

Tipo de recurso: AWS::DMS::ReplicationInstance

Regla de AWS Config: dms-replication-not-public

Type: Schedule Periódico

Parámetros: Ninguno

Este control comprueba siAWS DMSlas instancias de replicación de son públicas. Para ello, examina el valor de laPubliclyAccessible.

Las instancias de replicación privadas tienen una dirección IP privada a la que no puede obtener acceso desde fuera de la red de replicación. Las instancias de replicación deben tener una dirección IP privada cuando las bases de datos de origen y de destino están en la misma red. La red también debe estar conectada a la VPC de la instancia de replicación mediante una VPN,AWS Direct Connecto interconexión de VPC. Para obtener más información sobre las instancias de replicación públicas y privadas, consulteInstancias de replicación pública y privadaen laAWS Database Migration ServiceGuía del usuario de.

También debe asegurarse de que el acceso a suAWS DMSla configuración de la instancia está limitada solo a los usuarios autorizados. Para ello, restrinja los permisos de IAM de los usuarios para modificarAWS DMSconfiguración y recursos.

nota

Este control no se admite en África (Ciudad del Cabo) o Europa (Milán).

Corrección

Tenga en cuenta que no puede cambiar la configuración de acceso público una vez que se haya creado una instancia de replicación. Debe eliminarse y volver a crearse.

Para configurar laAWS DMSconfiguración de instancias de replicación para bloquear el acceso público

  1. Abra la consola de AWS Database Migration Service en https://console.aws.amazon.com/dms/.

  2. Vaya aInstancias de replicacióny, a continuación, borra la instancia pública. Seleccione la instancia, elijaActionsy,, después,borrar.

  3. Elija Create replication instance. Proporcione los detalles de configuración.

  4. Para deshabilitar el acceso público, asegúrese de quePublicly accessible (Accesible públicamente)no está seleccionada.

  5. Seleccione Create (Crear).

Para obtener más información, consulte la sección sobreCreación de una instancia de replicaciónen laAWS Database Migration ServiceGuía del usuario de.

[DynamoDB.1] Las tablas de DynamoDB deben escalar automáticamente la capacidad en función de la demanda

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: Media

Tipo de recurso: AWS::DynamoDB::Table

Regla de AWS Config: dynamodb-autoscaling-enabled

Tipo: programación: Periódico

Parámetros: Ninguno

Este control comprueba si una tabla de Amazon DynamoDB puede escalar su capacidad de lectura y escritura según sea necesario. Este control se aprueba si la tabla usa el modo de capacidad bajo demanda o el modo aprovisionado con el escalado auto configurado. El escalamiento de la capacidad con la demanda evita las excepciones de limitación, lo que ayuda a mantener la disponibilidad de sus aplicaciones.

Las tablas de DynamoDB en el modo de capacidad bajo demanda solo están limitadas por las cuotas predeterminadas de las tablas de rendimiento de DynamoDB. Para aumentar estas cuotas, puedes presentar un ticket de soporte a través deAWS Support.

Las tablas de DynamoDB en modo aprovisionado con escalado auto ajustan la capacidad de rendimiento aprovisionada de forma dinámica en respuesta a los patrones de tráfico. Para obtener información adicional sobre la limitación de solicitudes de DynamoDB, consulteCapacidad de aceleración y ráfaga de solicitudesen laGuía para desarrolladores de Amazon DynamoDB.

nota

Este control no es compatible enAWS GovCloud (US-East) oAWS GovCloud (US-West).

Corrección

Para obtener instrucciones detalladas sobre cómo habilitar el escalado automático de DynamoDB en las tablas existentes en modo de capacidad, consulteHabilitación del escalado auto de DynamoDB en tablas existentesen laGuía para desarrolladores de Amazon DynamoDB.

[DynamoDB.2] Las tablas de DynamoDB deben tener point-in-time recuperación habilitada

Categoría: Recuperación > Resiliencia > Respaldos

Gravedad: Media

Tipo de recurso: AWS::DynamoDB::Table

Regla de AWS Config: dynamodb-pitr-enabled

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si point-in-time La recuperación (PITR) está habilitada para una tabla de Amazon DynamoDB.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También fortalecen la resiliencia de sus sistemas. DynamoDB point-in-time recovery automatiza las copias de seguridad de las tablas de DynamoDB. Reduce el tiempo de recuperación tras operaciones accidentales de borrado o escritura. Las tablas de DynamoDB que tienen habilitado el PITR se pueden restaurar a cualquier momento de los últimos 35 días.

Corrección

Para solucionar este problema, añada point-in-time recuperación en la tabla de DynamoDB.

Para activar DynamoDB point-in-time recuperación de una tabla existente

  1. Abra la consola de DynamoDB en https://console.aws.amazon.com/dynamodb/.

  2. Elija la tabla que desee usar y, a continuación, elijaCopias de seguridad de.

  3. En el navegadorPoint-in-time Recuperación, enEstado, eligeHabilitar.

  4. ElegirHabilitarde nuevo para confirmar el cambio.

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Gravedad: Media

Tipo de recurso: AWS::DAX::Cluster

Regla de AWS Config: dax-encryption-enabled

Tipo: programación: Periódico

Parámetros: Ninguno

Este control de comprueba si un clúster de DAX está cifrado en reposo.

El cifrado de datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el discoAWS. El cifrado agrega otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para descifrar los datos antes de que se puedan leer.

Corrección

No puede habilitar o deshabilitar el cifrado en reposo después de haber creado un clúster. Debe volver a crear el clúster para habilitar el cifrado en reposo. Para obtener instrucciones detalladas sobre cómo crear un clúster de DAX con el cifrado en reposo habilitado, consulteHabilitación del cifrado en reposo deAWS Management Consoleen laGuía para desarrolladores de Amazon DynamoDB.

[EC2.1] Las instantáneas de Amazon EBS no deben ser públicas, en función de su disponibilidad para ser restaurables por cualquier persona

Categoría: Proteger - Configuración de red segura

Gravedad: Critical

Tipo de recurso: AWScuenta

Regla de AWS Config: ebs-snapshot-public-restorable-check

Tipo: programación: Periódico

Parámetros: Ninguno

Este control comprueba si las instantáneas de Amazon Elastic Block Store no son públicas. El control falla si cualquier persona puede restaurar las instantáneas de Amazon EBS.

Las instantáneas de EBS se utilizan para hacer una copia de seguridad de los datos de los volúmenes de EBS en Amazon S3 en un momento determinado. Puede utilizar las instantáneas para restaurar estados anteriores de volúmenes de EBS. Rara vez es aceptable compartir una instantánea con el público. Por lo general, la decisión de compartir una instantánea públicamente se toma por error o sin una comprensión completa de las consecuencias. Esta comprobación ayuda a garantizar que todos esos intercambios se planificaron y son intencionados.

nota

Este control no se admite en África (Ciudad del Cabo) o Europa (Milán).

Corrección

Para solucionar este problema, actualice la instantánea de EBS para que sea privada en lugar de pública.

Para convertir una instantánea de EBS pública en privada

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, en, enElastic Block Store, eligeInstantáneas dey, a continuación, seleccione la instantánea pública.

  3. En Actions (Acciones), elija Modify permissions (Modificar permisos).

  4. Seleccione Private (Privadas).

  5. (Opcional) Añada el campoAWSnúmeros de cuenta de de las cuentas autorizadas con las que compartir su instantánea y elegirIncorporación de permiso.

  6. Seleccione Save (Guardar).

[EC2.2] El grupo de seguridad predeterminado de VPC no debe permitir el tráfico entrante ni saliente

Categoría: Proteger - Configuración de red segura

Gravedad: Alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config: vpc-default-security-group-closed

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba que el grupo de seguridad predeterminado de una VPC no permita el tráfico entrante ni saliente.

Las reglas del grupo de seguridad predeterminado permiten todo el tráfico saliente y entrante de las interfaces de red (y de sus instancias asociadas) asignadas al mismo grupo de seguridad.

No recomendamos utilizar el grupo de seguridad predeterminado. Dado que el grupo de seguridad predeterminado no se puede eliminar, debería cambiar la configuración de reglas de grupo de seguridad predeterminada para restringir el tráfico entrante y saliente. Esto evita el tráfico no deseado si el grupo de seguridad predeterminado se configura accidentalmente para recursos como instancias EC2.

Corrección

Para solucionar este problema, cree nuevos grupos de seguridad y asígnelos a sus recursos. Para evitar que se usen los grupos de seguridad predeterminados, quite sus reglas de entrada y salida.

Para crear nuevos grupos de seguridad y asignarlos a sus recursos

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad). Vea los detalles de los grupos de seguridad predeterminados para ver los recursos que tienen asignados.

  3. Cree un conjunto de grupos de seguridad con privilegios mínimos para los recursos. Para obtener más información sobre cómo crear grupos de seguridad, consulteCrear un grupo de seguridaden laAmazon VPC User Guide.

  4. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  5. En la consola de Amazon EC2, cambie el grupo de seguridad de los recursos que utilizan los grupos de seguridad predeterminados al grupo de seguridad con privilegios mínimos que ha creado. ConsulteCambiar los grupos de seguridad de una instanciaen laAmazon VPC User Guide.

Después de asignar los nuevos grupos de seguridad a los recursos, quite las reglas de entrada y salida de los grupos de seguridad predeterminados. Esto garantiza que no se usen los grupos de seguridad predeterminados.

Para eliminar las reglas del grupo de seguridad predeterminado

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione un grupo de seguridad predeterminado y elija laReglas de entradatabulador. Elija Edit inbound rules (Editar reglas de entrada). A continuación, borre todas las reglas de entrada. Seleccione Save rules (Guardar reglas).

  4. Repita el paso anterior para cada grupo de seguridad predeterminado.

  5. Seleccione un grupo de seguridad predeterminado y elija laReglas de salidatabulador. ElegirEditar reglas de salida. A continuación, elimine todas las reglas de salida. Seleccione Save rules (Guardar reglas).

  6. Repita el paso anterior para cada grupo de seguridad predeterminado.

Para obtener más información, consulteUso de grupos de seguridaden laAmazon VPC User Guide.

[EC2.3] Los volúmenes de EBS asociados deben cifrarse en reposo

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Gravedad: Media

Tipo de recurso: AWS::EC2::Volume

Regla de AWS Config: encrypted-volumes

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si los volúmenes de EBS asociados están cifrados. Para superar esta comprobación, los volúmenes de EBS deben tener el estado de uso y estar cifrados. Si el volumen de EBS no está asociado, entonces no estará en el alcance de esta comprobación.

Para obtener una capa adicional de seguridad de la información confidencial en volúmenes de EBS, debe habilitar el cifrado de EBS en reposo. Amazon EBS ofrece una solución de cifrado sencilla para los recursos de EBS que no precisa que cree, mantenga y proteja su propia infraestructura de administración de claves. Utiliza claves de KMS al crear volúmenes cifrados e instantáneas.

Para obtener más información sobre el cifrado de Amazon EBS, consulteAmazon EBS encryptionen laGuía del usuario de Amazon EC2 para instancias de Linux.

nota

Este control no se admite en África (Ciudad del Cabo) o Europa (Milán).

Corrección

No existe una forma directa para cifrar un volumen o una instantánea sin cifrar existente. Solo puede cifrar un nuevo volumen o instantánea al crearlo.

Si ha habilitado el cifrado de forma predeterminada, Amazon EBS cifra el nuevo volumen o la instantánea resultante utilizando la clave predeterminada para el cifrado de Amazon EBS. Aunque no haya habilitado el cifrado de forma predeterminada, puede habilitarlo al crear un volumen o una instantánea individuales. En ambos casos, puede anular la clave predeterminada para el cifrado de Amazon EBS y elegir una clave simétrica administrada por el cliente.

Para obtener más información, consulteCreación de un volumen de Amazon EBSyCopiar una instantánea de Amazon EBSen laGuía del usuario de Amazon EC2 para instancias de Linux.

[EC2.4] Las instancias EC2 detenidas deben eliminarse tras un periodo de tiempo especificado

Categoría: Identificar - Inventario

Gravedad: Media

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config: ec2-stopped-instance

Tipo: programación: Periódico

Parámetros:

  • allowedDays: 30

Este control comprueba si alguna instancia EC2 se ha detenido durante un número de días superior al permitido. Una instancia de EC2 no supera esta comprobación si se detiene durante un período superior al máximo permitido, que de forma predeterminada es de 30 días.

Un resultado fallido indica que una instancia de EC2 no se ha ejecutado durante un período de tiempo significativo. Esto crea un riesgo de seguridad porque la instancia de EC2 no se mantiene activamente (se analiza, aplica parches, se actualiza). Si se lanza más tarde, la falta de un mantenimiento adecuado podría provocar problemas inesperados en suAWSentorno de. Para mantener de forma segura una instancia de EC2 a lo largo del tiempo en un estado de no ejecución, iníciela periódicamente para su mantenimiento y, a continuación, deténgala después Lo ideal es que se trate de un proceso automatizado.

nota

Este control no se admite en África (Ciudad del Cabo) o Europa (Milán).

Corrección

Puede terminar una instancia EC2 usando la consola o la línea de comandos.

Antes de terminar la instancia de EC2, compruebe que no perderá ningún dato:

  • Compruebe que sus volúmenes de Amazon EBS no se eliminarán en el momento de la rescisión.

  • Copie los datos que necesite de los volúmenes de almacén de instancias EC2 en Amazon EBS o en Amazon S3.

Para terminar una instancia EC2 (consola)

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, bajo Instances, elija Instances.

  3. Seleccione la instancia y, a continuación, elijaActions,Estado de la instancia,Finalizar.

  4. Cuando se le pida confirmación, elija Yes, Terminate.

Para terminar una instancia EC2 (AWS CLI, Tools for Windows PowerShell)

Utilice uno de los siguientes comandos. Para obtener más información acerca de la interfaz de línea de comandos, consulteAcceder a Amazon EC2en laGuía del usuario de Amazon EC2 para instancias de Linux.

Para obtener más información acerca de la terminación de las instancias, consulte Terminación de una instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

Categoría: Identificar - Registro

Gravedad: Media

Tipo de recurso: AWS::EC2::VPC

Regla de AWS Config: vpc-flow-logs-enabled

Tipo: programación: Periódico

Parámetros:

  • trafficType: REJECT

Este control comprueba si los registros de flujo de Amazon VPC se encuentran y se habilitan para las VPC. El tipo de tráfico se establece enReject.

Con la característica de registros de flujo de VPC, puede capturar información acerca del tráfico de direcciones IP entrante y saliente de las interfaces de red de en la VPC. Una vez creado un registro de flujo, puede verlo y recuperar sus datos en CloudWatch Registros. Para reducir los costos, también puede enviar sus registros de flujo a Amazon S3.

Security Hub recomienda activar el registro de flujo para rechazos de paquetes para VPC. Los registros de flujo proporcionan visibilidad del tráfico de red que atraviesa la VPC y pueden detectar tráfico anómalo o proporcionar información valiosa durante los flujos de trabajo de seguridad.

De forma predeterminada, el registro incluye valores para los distintos componentes del flujo de direcciones IP, incluido el origen, el destino y el protocolo. Para obtener más información y descripciones de los campos de registro, consulteLogs de flujo de VPCen laAmazon VPC User Guide.

Corrección

Para solucionar este problema, habilite el registro de flujo de VPC.

Para habilitar el registro de flujo de la VPC

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. UnderCloud virtual privada, eligeSus VPC.

  3. Seleccione la VPC que se va a actualizar.

  4. En la parte inferior de la página, elijaLogs de flujo de.

  5. Elija Create flow log (Crear registro de flujo).

  6. En Filter (Filtro), elija Reject (Rechazar).

  7. ParaGrupo de registros de destino, elija el grupo de registros que se va a utilizar.

  8. ParaRol de IAM, elija la función de IAM que desee usar.

  9. Seleccione Create (Crear).

[EC2.7] Debe habilitarse el cifrado predeterminado de EBS

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Gravedad: Media

Tipo de recurso: AWScuenta

Regla de AWS Config: ec2-ebs-encryption-by-default

Tipo: programación: Periódico

Parámetros: Ninguno

Este control comprueba si el cifrado a nivel de cuenta está habilitado de forma predeterminada en Amazon Elastic Block Store (Amazon EBS). El control falla si el cifrado a nivel de cuenta no está habilitado.

Cuando el cifrado está habilitado para su cuenta, los volúmenes de Amazon EBS y las copias instantáneas se cifran en reposo. Esto añade una capa de protección adicional a sus datos. Para obtener más información, consulte Cifrado de forma predeterminada en la Guía del usuario de Amazon EC2 para instancias de Linux.

Tenga en cuenta que los siguientes tipos de instancias no admiten el cifrado: R1, C1 y M1.

Corrección

Puede usar la consola de Amazon EC2 para habilitar el cifrado predeterminado para los volúmenes de Amazon EBS.

A fin de configurar el cifrado predeterminado para el cifrado de Amazon EBS en una región

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione EC2 Dashboard (Panel de EC2).

  3. En la esquina superior derecha de la página, elijaAtributos de cuenta, cifrado EBS.

  4. Seleccione Manage (Administrar).

  5. Seleccione Enable (Habilitar). Puede conservar el campoClave administrada por AWScon el aliasalias/aws/ebscreado en su nombre como clave de cifrado predeterminada o elija una clave administrada por el cliente simétrica.

  6. Elija Update EBS encryption (Actualizar el cifrado de EBS).

[EC2.8] Las instancias de EC2 deben usar IMDSv2

Categoría: Proteger - Seguridad de la red

Gravedad: Alta

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config: ec2-imdsv2-check

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si la versión de metadatos de la instancia EC2 está configurada con Servicio de metadatos de instancia versión 2 (IMDSv2). El control pasa siHttpTokensse establece en obligatorio para IMDSv2. El control falla siHttpTokenstoma el valoroptional.

Los metadatos de instancia se utilizan para configurar o administrar la instancia en ejecución. El IMDS proporciona acceso a credenciales temporales que se rotan con frecuencia. Estas credenciales eliminan la necesidad de codificar o distribuir credenciales confidenciales a las instancias de forma manual o mediante programación. El IMDS se conecta localmente a cada instancia de EC2. Se ejecuta en una dirección IP especial de «enlace local» de 169.254.169.254. Solo el software que se ejecuta en la instancia puede acceder a esta dirección IP.

La versión 2 del IMDS agrega nuevas protecciones para los siguientes tipos de vulnerabilidades. Estas vulnerabilidades podrían utilizarse para intentar acceder al IMDS.

  • Cortafuegos de aplicaciones web abiertas

  • Abrir proxies inversos

  • Vulnerabilidades de falsificación de solicitudes del lado del servidor (SSRF)

  • Abrir firewalls de capa 3 y la conversión de las direcciones de red (NAT)

Security Hub recomienda configurar las instancias de EC2 con IMDSv2.

nota

Este control no se admite en África (Ciudad del Cabo) o Europa (Milán).

Corrección

Para corregir una instancia de EC2 que no está configurada con IMDSv2, puede requerir el uso de IMDSv2.

Para solicitar IMDSv2 en una instancia existente, cuando solicite los metadatos de la instancia, modifique las opciones de metadatos de Amazon EC2. Siga las instrucciones enConfiguración de opciones de metadatos en instancias existentesen laGuía del usuario de Amazon EC2 para instancias de Linux.

Para exigir el uso de IMDSv2 en una nueva instancia al lanzarla, siga las instrucciones deConfiguración de las opciones de metadatos en instancias nuevasen laGuía del usuario de Amazon EC2 para instancias de Linux.

Para configurar la nueva instancia de EC2 con IMDSv2 desde la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. ElegirLanzar instanciay luegoLanzar instancia.

  3. En el navegadorPágina Configure Instance Details (Configurar los detalles de la instancia)paso, debajoDetalles avanzados, paraVersión de metadatos, eligeV2 (token obligatorio).

  4. Elija Review and Launch (Revisar y lanzar).

Si el software usa IMDSv1, puede configurar el software para que use IMDSv2. Para obtener más información, consulte .Transición al uso de Servicio de metadatos de instancia versión 2en laGuía del usuario de Amazon EC2 para instancias de Linux.

[EC2.9] Las instancias de EC2 no deben tener una dirección IP pública

Categoría: Proteger - Configuración de red segura - Direcciones IP públicas

Gravedad: Alta

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config: ec2-instance-no-public-ip

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si las instancias de EC2 tienen una dirección IP pública. El control falla si elpublicIpestá presente en el elemento de configuración de instancia EC2. Este control se aplica únicamente a las direcciones IPv4.

Una dirección IPv4 pública es una dirección IP a la que se puede tener acceso desde Internet. Si lanza su instancia con una dirección IP pública, podrá obtener acceso a su instancia EC2 desde Internet. Una dirección IPv4 privada es una dirección IP a la que no se puede tener acceso desde Internet. Puede usar direcciones IPv4 privadas para la comunicación entre las instancias EC2 de la misma VPC o de la red privada conectada.

Las direcciones IPv6 son únicas de forma global y, por lo tanto, están disponibles desde Internet. Sin embargo, de forma predeterminada, todas las subredes tienen el atributo de direcciones IPv6 configurado como false. Para obtener más información acerca de IPv6, consulteDirecciones IP en su VPCen laAmazon VPC User Guide.

Si tiene un caso de uso legítimo para mantener instancias de EC2 con direcciones IP públicas, puede suprimir los resultados de este control. Para obtener más información sobre las opciones de arquitectura de front-end, consulte laAWSBlog de arquitecturao elSerie Esta es mi arquitectura.

Corrección

Usa una VPC no predeterminada para que a la instancia no se le asigne una dirección IP pública de forma predeterminada.

Cuando lanza una instancia EC2 en una VPC predeterminada, se le asigna una dirección IP pública. Cuando lanza una instancia de EC2 en una VPC no predeterminada, la configuración de subred determina si recibe una dirección IP pública. La subred tiene un atributo para determinar si las nuevas instancias EC2 de la subred reciben una dirección IP pública del grupo de direcciones IPv4 públicas.

Por lo tanto, no es posible asociar o desasociar manualmente las direcciones IP públicas asignadas automáticamente desde su instancia EC2. Para controlar si su instancia EC2 recibe una dirección IP pública, siga uno de estos procedimientos:

Para obtener más información, consulte Direcciones IPv4 públicas y nombres de host DNS externos en la Guía del usuario de Amazon EC2 para instancias Linux.

Si su instancia EC2 está asociada a una dirección IP elástica, se puede obtener acceso a su instancia EC2 desde Internet. Puede anular la asociación de una dirección IP elástica de una instancia o interfaz de red en cualquier momento.

Para anular la asociación de una dirección IP elástica

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Elastic IPs (Direcciones IP elásticas).

  3. Seleccione la dirección IP elástica que desea desasociar.

  4. DesdeActions, eligeAnulación de la asociación de IP elástica.

  5. Elija Disassociate (Desasociar).

[EC2.10] Amazon EC2 debe configurarse para usar puntos de enlace de VPC que se crean para el servicio Amazon EC2

Categoría: Proteger: configuración de red segura > Acceso privado a la API

Gravedad: Media

Tipo de recurso: AWS::EC2::VPC

Regla de AWS Config: service-vpc-endpoint-enabled

Tipo: programación: Periódico

Parámetros:

  • serviceName: ec2

Este control comprueba si se crea un punto de enlace de servicio para Amazon EC2 para cada VPC. El control falla si una VPC no tiene un punto de enlace de la VPC creado para el servicio de Amazon EC2.

Este control evalúa los recursos en una sola cuenta. No puede describir los recursos que están fuera de la cuenta. PorqueAWS Configy Security Hub no realizan comprobaciones entre cuentas, veráFAILEDresultados para las VPC que se comparten entre cuentas. Security Hub recomienda que los suprimaFAILEDhallazgos.

Para mejorar la posición de seguridad de su VPC, puede configurar Amazon EC2 para que utilice un punto de enlace de la VPC de tipo interfaz. Los puntos de enlace de tipo interfaz cuentan conAWS PrivateLink, una tecnología que permite que acceda de forma privada a las operaciones de API de Amazon EC2. Restringe todo el tráfico de red entre la VPC y Amazon EC2 a la red de Amazon. Como los puntos de enlace solo se admiten en la misma región, no se puede crear un punto de enlace entre una VPC y un servicio de otra región. Esto evita las llamadas no deseadas a la API de Amazon EC2 a otras regiones.

Para obtener más información sobre la creación de puntos de enlace de la VPC para Amazon EC2, consulteAmazon EC2 y puntos de enlace de la VPC de tipo interfazen laGuía del usuario de Amazon EC2 para instancias de Linux.

Corrección

Para solucionar este problema, puede crear un punto de enlace de la VPC de la interfaz para Amazon EC2.

Para crear un punto de enlace de interfaz para Amazon EC2 desde la consola de Amazon VPC

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Endpoints (Puntos de conexión).

  3. Elija Create Endpoint (Crear punto de conexión).

  4. En Service category (Categoría de servicios), elija AWSServices (Servicios de AWC).

  5. ParaNombre del servicio, eligecom.amazonaws. <region>.ec2.

  6. ParaTipo, eligeInterfaz.

  7. Rellene los datos siguientes.

    1. En VPC, seleccione la VPC en la que se va a crear el punto de conexión.

    2. En Subredes, seleccione las subredes (zonas de disponibilidad) en las que crear las interfaces de red de punto de conexión. No todas las zonas de disponibilidad son compatibles para todosAWSServicios de .

    3. Para habilitar un DNS privado para el punto de enlace de interfaz, seleccione la casilla de verificación paraEnable DNS. Esta opción está habilitada de forma predeterminada.

      Para utilizar la opción de DNS privado, los atributos siguientes de la VPC deben tener el valor true:

      • enableDnsHostnames

      • enableDnsSupport

      Para obtener más información, consulte Viewing and updating DNS support for your VPC (Visualización y actualización de la compatibilidad de DNS para su VPC) en la Guía del usuario de Amazon VPC.

    4. En Security group, seleccione los grupos de seguridad que deban asociarse a las interfaces de red de punto de conexión.

    5. (Opcional) Añada o elimine una etiqueta. Para añadir una etiqueta, elija GetAñadir etiqueta de.y realice una de las siguientes opciones:

      • ParaClave, escriba el nombre de la etiqueta.

      • En Value (Valor), ingrese el valor de la etiqueta.

    6. Para quitar una etiqueta, elija el icono de eliminación (x) a la derecha de la etiquetaClaveyValor.

  8. Elija Create endpoint (Crear punto de conexión).

Para crear una política de punto de enlace de la VPC

Puede asociar una política a su punto de enlace de la VPC para controlar el acceso a la API de Amazon EC2. La política especifica lo siguiente:

  • La entidad principal que puede realizar acciones

  • Las acciones que se pueden realizar

  • El recurso en el que se pueden realizar las acciones

Para obtener más información sobre la creación de una directiva de punto final de VPC, consulteAmazon EC2 y puntos de enlace de la VPC de tipo interfazEn el navegadorGuía del usuario de Amazon EC2 para instancias de Linux.

[EC2.15] Las subredes de EC2 no deben asignar automáticamente direcciones IP públicas

Categoría: Proteger - Seguridad de la red

Gravedad: Media

Tipo de recurso: AWS::EC2::Subnet

Regla de AWS Config: subnet-auto-assign-public-ip-disabled

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si la asignación de IP públicas en las subredes de Amazon Virtual Private Cloud (Amazon VPC) tieneMapPublicIpOnLaunchseleccionar seleccionar seleccionar seleccionarFALSE. El control pasa si la marca está establecida enFALSE.

Todas las subredes tienen un atributo que determina si una interfaz de red creada en la subred recibe automáticamente una dirección IPv4 pública. Las instancias que se lanzan en subredes que tienen este atributo habilitado tienen una dirección IP pública asignada a su interfaz de red principal.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Puede configurar una subred desde la consola de Amazon VPC.

Para configurar una subred para que no asigne direcciones IP públicas

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Subnets.

  3. Seleccione su subred y, a continuación, elijaAcciones de subred,Modificar configuración de asignación automática de IP.

  4. Desactive elHabilitación de la dirección IPv4 públicay, a continuación, seleccioneGuardar.

[EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

Categoría: Prevenir - Seguridad de la red

Gravedad: Baja

Tipo de recurso: AWS::EC2::NetworkAcl

Regla de AWS Config: vpc-network-acl-unused-check

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si hay alguna lista de control de acceso (ACL) sin utilizar.

El control comprueba la configuración del elemento del recurso.AWS::EC2::NetworkAcly determina las relaciones de la ACL de red.

Si la única relación es la VPC de la ACL de red, se produce un error en el control.

Si se muestran otras relaciones, el control pasa.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para obtener instrucciones sobre cómo eliminar una ACL de red no utilizada, consulteEliminar una ACL de reden laAmazon VPC User Guide.

[EC2.17] Las instancias de EC2 no deben usar varios ENI

Categoría: Seguridad de la red

Gravedad: Baja

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config: ec2-instance-multiple-eni-check

Tipo: programación: Cambio activado

Parámetros:

  • Adapterids(Opcional): una lista de los ID de interfaz de red que se adjuntan a las instancias de EC2

Este control comprueba si una instancia de EC2 utiliza varias interfaces de red elásticas (ENI) o adaptadores de estructura elástica (EFA). Este control pasa si se utiliza un único adaptador de red. El control incluye una lista de parámetros opcional para identificar los ENI permitidos.

Varios ENI pueden provocar instancias de doble alojamiento, es decir, instancias que tienen varias subredes. Esto puede agregar complejidad a la seguridad de la red e introducir accesos y rutas de red no deseados.

Este control también falla si un clúster de Amazon EKS que pertenece a un clúster de Amazon EKS tiene más de un ENI. Si necesita usar instancias de EC2 que tengan varios ENI como parte de un clúster de Amazon EKS, puede suprimir esos hallazgos.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para solucionar este problema, desconecte los ENI adicionales.

Para desconectar una interfaz de red

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En Red y seguridad, elija Interfaces de red.

  3. Filtra la lista por los ID de instancias no conformes para ver los ENI asociados.

  4. Seleccione los ENI que desea eliminar.

  5. De lasActions, elijaDesacoplar.

  6. Si ve el mensaje¿Está seguro de que desea desasociar la siguiente interfaz de red?, eligeDesacoplar.

[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones para los puertos autorizados

Categoría: Proteger - Configuración de red segura - Configuración de grupos de seguridad

Gravedad: Alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config: vpc-sg-open-only-to-authorized-ports

Tipo: programación: Cambio activado

Parámetros:

  • authorizedTcpPorts(Opcional): lista separada por comas de puertos a los que se permite el acceso ilimitado. Por ejemplo: '80, 443'. Para esta regla, los valores predeterminados deauthorizedTcpPortsson 80 y 443.

Este control comprueba si los grupos de seguridad que se están utilizando permiten el tráfico entrante ilimitado. De manera opcional, la regla comprueba si los números de puerto aparecen en la listaauthorizedTcpPortsparámetro.

  • Si el número de puerto de la regla del grupo de seguridad permite el tráfico entrante sin restricciones, pero el número de puerto se especifica enauthorizedTcpPorts, luego se pasa el control. El valor predeterminado de authorizedTcpPorts es 80, 443.

  • Si el número de puerto de la regla del grupo de seguridad permite el tráfico entrante sin restricciones, pero el número de puerto no se especifica enauthorizedTcpPortsparámetro de entrada, el control falla.

  • Si no se utiliza el parámetro, se produce un error en el control de cualquier grupo de seguridad que tenga una regla de entrada sin restricciones.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida aAWS. Las reglas de los grupos de seguridad deben seguir el principio de acceso menos privilegiado. El acceso sin restricciones (dirección IP con sufijo /0) aumenta la posibilidad de que se produzcan actividades maliciosas, como hackeo, denial-of-service ataques y pérdida de datos.

A menos que se permita específicamente un puerto, el puerto debe denegar el acceso sin restricciones.

nota

Este control no se admite en Asia-Pacífico (Osaka).

Corrección

Para obtener más información acerca de cómo modificar un grupo de seguridad, consulteAgregar, eliminar o actualizar reglasen laAmazon VPC User Guide.

[EC2.19] Los grupos de seguridad no deben permitir el acceso sin restricciones a los puertos con alto riesgo

Categoría: Proteger > Acceso restringido a la red

Gravedad: Critical

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config: vpc-sg-restricted-common-ports (Regla personalizada desarrollada por Security Hub)

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si el tráfico entrante sin restricciones para los grupos de seguridad es accesible para los puertos especificados que tienen el riesgo más alto. Este control se aprueba cuando ninguna de las reglas de un grupo de seguridad permite el tráfico de ingreso desde 0.0.0.0/0 para esos puertos.

El acceso sin restricciones (0.0.0/0) aumenta las oportunidades de actividad maliciosa, como la piratería informática, denial-of-service ataques y pérdida de datos.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. Ningún grupo de seguridad debe permitir el acceso de entrada ilimitado a los siguientes puertos:

  • 20, 21 (FTP)

  • 22 (SSH)

  • 23 (Telnet)

  • 25 (SMTP)

  • 110 (POP 3)

  • 135 (RPC)

  • 143 (IMAP)

  • 445 (CIFS)

  • 1433, 1434 (MSSQL)

  • 3000 (marcos de desarrollo web Go, Node.js y Ruby)

  • 3306 (MySQL)

  • 3389 (RDP)

  • 4333 (ahsp)

  • 5000 (marcos de desarrollo web Python)

  • 5432 (postgresql)

  • 5500 (fcp-addr-srvr1)

  • 5601 (OpenSearch Paneles)

  • 8080 (proxy)

  • 8088 (puerto HTTP heredado)

  • 8888 (puerto HTTP alternativo)

  • 9200 o 9300 (OpenSearch)

Corrección

Para obtener información sobre cómo eliminar reglas de un grupo de seguridad, consulteEliminar reglas de un grupo de seguridaden laGuía del usuario de Amazon EC2 para instancias de Linux.

[EC2.20] Ambos túneles VPN paraAWSLa conexión de Site-to-Site VPN debe estar activa

Categoría: Resiliencia > Recuperación > Alta disponibilidad

Gravedad: Media

Tipo de recurso:AWS::EC2::VPNConnection

Regla de AWS Config: vpc-vpn-2-tunnels-up

Tipo: programación: Cambio activado

Parámetros: Ninguno

Un túnel de VPN es un enlace cifrado donde los datos pueden pasar entre la red del cliente yAWSdentro de unAWSConexión de Site-to-Site VPN de. Cada conexión de VPN incluye dos túneles de VPN que puede utilizar simultáneamente para conseguir alta disponibilidad. Asegurarse de que ambos túneles VPN estén activos para una conexión VPN es importante para confirmar una conexión segura y de alta disponibilidad entre unAWSVPC y su red remota.

Este control comprueba que ambos túneles VPN proporcionados porAWSLas Site-to-Site VPN están en estado UP. El control falla si uno o ambos túneles se encuentran en estado DOWN.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • Medio Oriente (Baréin)

Corrección

Para modificar las opciones del túnel VPN, consulteModificación de las opciones de un túnel de Site-to-Site VPNen laAWSGuía del usuario de Site-to-Site VPN de.

[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0/0 al puerto 22 o al puerto 3389

Categoría: Proteger - Configuración de red segura

Gravedad: Media

Tipo de recurso:AWS::EC2::NetworkAcl

Regla de AWS Config: nacl-no-unrestricted-ssh-rdp

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control verifica si una lista de control de acceso a la red (NACL) permite el acceso sin restricciones a los puertos predeterminados para el tráfico de ingreso de SSH/RDP. La regla falla si una entrada entrante de NACL permite un bloque CIDR de origen de '0.0.0.0/0' o ': :/0' para los puertos 22 o 3389.

El acceso a los puertos de administración remota del servidor, como el puerto 22 (SSH) y el puerto 3389 (RDP), no debe ser de acceso público, ya que esto puede permitir el acceso no deseado a los recursos dentro de la VPC.

Corrección

Para obtener más información acerca de las NACL, consulte.ACL de reden la Guía del usuario de VPC.

[EC2.22] Los grupos de seguridad de EC2 que no se utilicen se deben eliminar

Categoría: Identificar - Inventario

Gravedad: Media

Tipo de recurso:AWS::EC2::SecurityGroup,AWS::EC2::NetworkInterface

Regla de AWS Config: ec2-security-group-attached-to-eni-periodic

Tipo: programación: Periódico

Parámetros: Ninguno

EsteAWScontrola las comprobaciones de que los grupos de seguridad están asociados a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) o a una elastic network interface. El control fallará si el grupo de seguridad no está asociado a una instancia de Amazon EC2 o a una elastic network interface.

Corrección

Para crear, asignar y eliminar grupos de seguridad, consulteGrupos de seguridaden la guía del usuario de Amazon EC2.

[EC2.23] Las pasarelas de tránsito de EC2 no deben aceptar automáticamente las solicitudes de adjuntos de VPC

Categoría: Proteger - Configuración de red segura

Gravedad: Alta

Tipo de recurso:AWS::EC2::TransitGateway

Regla de AWS Config: ec2-transit-gateway-auto-vpc-attach-disabled

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si las puertas de enlace de tránsito de EC2 aceptan automáticamente los adjuntos de VPC compartidos. Este control falla para una Transit Gateway que acepta automáticamente solicitudes de adjuntos de VPC compartidas.

Activación deAutoAcceptSharedAttachmentsconfigura una Transit Gateway para que acepte automáticamente cualquier solicitud de adjunto de VPC entre cuentas sin verificar la solicitud o la cuenta desde la que se origina el archivo adjunto. Para seguir las prácticas recomendadas de autorización y autenticación, recomendamos desactivar esta función para garantizar que solo se acepten las solicitudes de adjuntos de VPC autorizadas.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Hong Kong)

  • Asia Pacific (Mumbai)

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • Medio Oriente (Baréin)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para obtener información acerca de cómo modificar una Transit Gateway, consulteModificar un gateway de tránsitoen la Guía para desarrolladores de Amazon VPC.

[EC2.24] No se deben usar tipos de instancias EC2 paravirtuales

Categoría: Identificar > Administración de vulnerabilidades, parches y versiones

Gravedad: Media

Tipo de recurso:AWS::EC2::Instance

Regla de AWS Config: ec2-paravirtual-instance-check

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si el tipo de virtualización de una instancia de EC2 es paravirtual. El control falla si elvirtualizationTypede la instancia de EC2 se establece enparavirtual.

Las Imágenes de máquina de Amazon (AMI) de Linux utilizan uno de los dos tipos de virtualización: paravirtual (PV) o máquina virtual de hardware (HVM). Las principales diferencias entre las AMI PV y HVM son el modo de arranque y si admiten extensiones de hardware especiales (CPU, red y almacenamiento) para mejorar su rendimiento.

Antes, el rendimiento de los invitados PV era mejor que el de los invitados HVM en muchos casos, pero esto ya no es así debido a las mejoras de la virtualización HVM y a la disponibilidad de controladores PV para AMI HVM. Para obtener más información, consulteTipos de virtualización de una AMI de Linuxen la Guía del usuario de Amazon EC2 para instancias de Linux.

nota

Este control no se admite en las siguientes regiones:

  • Este de EE. UU. (Ohio)

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Hong Kong)

  • Asia-Pacífico (Yakarta)

  • Asia-Pacífico (Bombay)

  • Asia Pacific (Osaka)

  • Asia-Pacífico (Seúl)

  • Canadá (centro)

  • China (Pekín)

  • China (Ningxia)

  • Europa (Londres)

  • Europa (Milán)

  • Europe (Paris)

  • Europe (Stockholm)

  • Medio Oriente (Baréin)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para obtener información acerca de cómo actualizar una instancia EC2 a un nuevo tipo de instancia, consulte.Cambie el tipo de instanciaen laGuía del usuario de Amazon EC2 para instancias de Linux.

[EC2.27] La ejecución de instancias de EC2 no debe usar pares de claves (retirado)

Se retira este control.

[ECR.1] Los repositorios privados de ECR deben tener configurada la exploración de imágenes

Categoría: Identificar > Administración de vulnerabilidades, parches y versiones

Gravedad: Alta

Tipo de recurso: AWS::ECR::Repository

Regla de AWS Config: ecr-private-image-scanning-enabled

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si un repositorio ECR privado tiene configurada la exploración de imágenes. Este control falla si un repositorio ECR privado no tiene configurada la exploración de imágenes.

El escaneo de imágenes ECR ayuda a identificar vulnerabilidades de software en las imágenes de contenedor. ECR utiliza la base de datos de vulnerabilidades y exposiciones comunes (CVE) delproyecto de código abierto de Clairy proporciona una lista de los hallazgos del escaneo. Al habilitar el escaneo de imágenes en los repositorios de ECR, se agrega una capa de verificación de la integridad y seguridad de las imágenes que se almacenan.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para configurar el escaneo de imágenes para un repositorio de ECR, consulteEscaneo de imágenesen laGuía del usuario de registro de contenedores de Amazon.

[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

Categoría: Identificar - Inventario - Etiquetado

Gravedad: Media

Tipo de recurso: AWS::ECR::Repository

Regla de AWS Config: ecr-private-tag-immutability-enabled

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si un repositorio ECR privado tiene habilitada la inmutabilidad de etiquetas. Este control falla si un repositorio de ECR privado tiene deshabilitada la inmutabilidad de etiquetas. Esta regla se aprueba si la inmutabilidad de la etiqueta está habilitada y tiene el valorIMMUTABLE.

La inmutabilidad de etiquetas de Amazon ECR permite a los clientes confiar en las etiquetas descriptivas de una imagen como un mecanismo fiable para rastrear e identificar imágenes de forma exclusiva. Una etiqueta inmutable es estática, lo que significa que cada etiqueta hace referencia a una imagen única. Esto mejora la confiabilidad y la escalabilidad, ya que el uso de una etiqueta estática siempre dará como resultado la implementación de la misma imagen. Cuando se configura, la inmutabilidad de las etiquetas impide que se anulen las etiquetas, lo que reduce la superficie de ataque.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para crear un repositorio con etiquetas inmutables configuradas o para actualizar la configuración de mutabilidad de las etiquetas de imagen en un repositorio existente, consulteMutabilidad de etiquetas de imágenesen laGuía del usuario de registro de contenedores de Amazon.

[ECR.3] Los repositorios de ECR deben tener al menos una política de ciclo de vida configurada

Categoría: Identificar > Configuración de recursos

Gravedad: Media

Tipo de recurso: AWS::ECR::Repository

Regla de AWS Config: ecr-private-lifecycle-policy-configured

Tipo: programación: Cambios activados

Parámetros: Ninguno

Este control comprueba si un repositorio de Amazon ECR tiene al menos una política de ciclo de vida configurada. Este control falla si un repositorio de ECR no tiene ninguna política de ciclo de vida configurada.

Las políticas de ciclo de vida de Amazon ECR permiten especificar la administración de ciclo de vida de las imágenes de un repositorio. Al configurar las políticas de ciclo de vida, puede automatizar la limpieza de las imágenes sin utilizar y la caducidad de las imágenes en función de su antigüedad o recuento. La automatización de estas tareas puede ayudarte a evitar el uso involuntario de imágenes desactualizadas en tu repositorio.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para configurar una política de ciclo de vida, consulteCreación de una vista previa de política de ciclo de vidaen laGuía del usuario de registro de contenedores de Amazon.

[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario

Categoría: Proteger - Administración segura del acceso

Gravedad: Alta

Tipo de recurso: AWS::ECS::TaskDefinition

Regla de AWS Config: ecs-task-definition-user-for-host-mode-check

Tipo: programación: Cambios activados

Parámetros:

  • SkipInactiveTaskDefinitions: true

Este control comprueba si una definición de tarea de Amazon ECS activa que tiene modo de red de host también tieneprivilegedouserdefiniciones de contenedores. El control falla para las definiciones de tareas que tienen el modo de red host y las definiciones de contenedor dondeprivileged=falseo está vacíouser=rooto está vacío.

Si una definición de tarea tiene privilegios elevados, es porque el cliente ha optado específicamente por esa configuración. Este control comprueba si hay escalamiento de privilegios inesperados cuando una definición de tarea tiene habilitadas las redes de host, pero el cliente no ha optado por los privilegios elevados.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Para obtener información sobre cómo actualizar una definición de tarea, consulteActualización de una definición de tareasen laGuía para desarrolladores de Amazon Elastic Con.

Tenga en cuenta que cuando actualiza una definición de tarea, no se actualizan las tareas en ejecución que se iniciaron desde la definición de tarea anterior. Para actualizar una tarea en ejecución, debe volver a implementarla con la nueva definición de tarea.

[ECS.2] Los servicios de Amazon ECS no deben tener direcciones IP públicas asignadas automáticamente

Categoría: Proteger - Configuración de red segura - Recursos no accesibles públicamente

Gravedad: Alta

Tipo de recurso: AWS::ECS::Service

Regla de AWS Config: ecs-service-assign-public-ip-disabled (Regla personalizada desarrollada por Security Hub)

Tipo: programación: Cambios activados

Parámetros:

  • exemptEcsServiceArns (Opcional). Security Hub no rellena este parámetro. Lista separada por comas de los ARN de los servicios de Amazon ECS que están exentos de esta regla.

    Esta regla esCOMPLIANTsi un servicio de Amazon ECS tieneAssignPublicIPseleccionar seleccionar seleccionar seleccionarENABLEDy se especifica en esta lista de parámetros.

    Esta regla esNON_COMPLIANTsi un servicio de Amazon ECS tieneAssignPublicIPseleccionar seleccionar seleccionar seleccionarENABLEDy no se especifica en esta lista de parámetros.

Este control comprueba si los servicios de Amazon ECS están configurados para asignar automáticamente direcciones IP públicas. Este control falla siAssignPublicIPesENABLED. Este control pasa siAssignPublicIPesDISABLED.

Una dirección IP pública es una dirección IP a la que se puede tener acceso desde Internet. Si lanza las instancias de Amazon ECS con una dirección IP pública, se puede tener acceso a las instancias de Amazon ECS desde Internet. Los servicios de Amazon ECS no deben ser accesibles públicamente, ya que puede permitir el acceso involuntario a los servidores de aplicaciones en contenedores.

nota

Este control no se admite en la región Asia-Pacífico (Osaka).

Corrección

Para deshabilitar la asignación automática de IP públicas, consultePara configurar la VPC y establecer la configuración de grupos de seguridad para su servicioen laGuía para desarrolladores de Amazon Elastic Con.

[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de procesos del host

Categoría: Identificar > Configuración de recursos

Gravedad: Alta

Tipo de recurso: AWS::ECS::TaskDefinition

AWS ConfigRegla de : ecs-task-definition-pid-mode check

Tipo programación Cambios activados

Parámetros: Ninguno

Este control comprueba si las definiciones de tareas de Amazon ECS están configuradas para compartir el espacio de nombres de procesos de un host con sus contenedores. El control falla si la definición de tarea comparte el espacio de nombres del proceso del host con los contenedores que se ejecutan en él.

Un espacio de nombres de ID de proceso (PID) proporciona separación entre procesos. Evita que los procesos del sistema sean visibles y permite la reutilización de los PID, incluido el PID 1. Si el espacio de nombres PID del host se comparte con contenedores, los contenedores podrían ver todos los procesos del sistema host. Esto reduce el beneficio del aislamiento a nivel de proceso entre el host y los contenedores. Estas circunstancias podrían dar lugar a un acceso no autorizado a los procesos en el propio host, incluida la capacidad de manipularlos y terminarlos. Los clientes no deben compartir el espacio de nombres de procesos del host con los contenedores que se ejecutan en él.

Corrección

Para configurar lapidModeen una definición de tareas, consulteParámetros de definición de tareaen la Guía para desarrolladores de Amazon Elastic Container Service.

[ECS.4] Los contenedores de ECS deben ejecutarse como no privilegiados

Categoría: Proteger - Administración de acceso seguro - Restricciones de acceso de usuarios

Gravedad: Alta

Tipo de recurso AWS::ECS::TaskDefinition

Regla de AWS Config: ecs-containers-nonprivileged

Tipo programación Cambios activados

Parámetros: Ninguno

Este control comprueba si elprivilegeden la definición de contenedor de Amazon ECS Task Definitions se establece entrue. El control falla si este parámetro es igual atrue.

Le recomendamos que elimine los privilegios elevados de las definiciones de tareas de ECS. Cuando el parámetro privilege estrue, al contenedor se le conceden privilegios elevados en la instancia de contenedor de host, similares a los de un usuario raíz.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para configurar laprivilegeden una definición de tarea, consulteParámetros de definición de contenedor avanzadosen la Guía para desarrolladores de Amazon Elastic Container Service.

[ECS.5] Los contenedores de ECS deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

Categoría: Proteger - Administración segura del acceso

Gravedad: Alta

Tipo de recurso AWS::ECS::TaskDefinition

Regla de AWS Config: ecs-containers-readonly-access

Tipo programación Cambios activados

Parámetros: Ninguno

Este control comprueba si los contenedores de ECS están limitados al acceso de solo lectura a los sistemas de archivos raíz montados. Este control falla siReadonlyRootFilesystemen la definición de contenedor de las definiciones de tareas de ECS se establece enfalse.

Al habilitar esta opción, se reducen los vectores de ataques de seguridad, ya que el sistema de archivos de la instancia del contenedor no se puede alterar ni escribir en él a menos que tenga permisos explícitos de lectura y escritura en la carpeta y los directorios del sistema de archivos. Este control también se adhiere al principio de privilegio mínimo.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para limitar las definiciones de contenedor al acceso de solo lectura a los sistemas de archivos raíz

  1. Abra la consola de Amazon ECS en https://console.aws.amazon.com/ecs/.

  2. En el panel de navegación izquierdo, elijaDefiniciones de tareas de.

  3. Para cada definición de tarea que tenga definiciones de contenedor que deban actualizarse, haga lo siguiente:

    • Seleccione la definición de contenedor que necesita actualizarse.

    • ElegirEditar contenedor. ParaAlmacenamiento y registroseleccionar seleccionar seleccionar seleccionarSistema de archivos raíz de solo lectura.

    • ElegirActualizaciónen la parte inferior deEditar contenedortabulador.

    • Seleccione Create (Crear).

[ECS.8] Los secretos no deben pasarse como variables de entorno de contenedor

Categoría: Proteger > Desarrollo seguro > Credenciales no codificadas

Gravedad: Alta

Tipo de recurso AWS::ECS::TaskDefinition

Regla de AWS Config: ecs-no-environment-secrets

Tipo programación Cambios activados

Parámetros:

  • SecretKeys =AWS_ACCESS_KEY_ID,AWS_SECRET_ACCESS_KEY,ECS_ENGINE_AUTH_DATA

Este control comprueba si el valor clave de cualquier variable de laenvironmentparámetro de definiciones de contenedor incluyeAWS_ACCESS_KEY_ID,AWS_SECRET_ACCESS_KEY, o bienECS_ENGINE_AUTH_DATA. Este control falla si una sola variable de entorno en cualquier definición de contenedor es igual aAWS_ACCESS_KEY_ID,AWS_SECRET_ACCESS_KEY, o bienECS_ENGINE_AUTH_DATA. Este control no cubre las variables ambientales transmitidas desde otras ubicaciones, como Amazon S3.

AWS Systems ManagerParameter Store puede ayudarlo a mejorar la seguridad general de su organización. Recomendamos usar el almacén de parámetros para almacenar secretos y credenciales en lugar de dirigir su paso a las instancias de contenedor o codificarlos en su código.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para crear parámetros mediante SSM, consulteCreación de parámetros de Systems Manageren laAWS Systems ManagerGuía del usuario de. Para obtener más información sobre la creación de una definición de tarea que especifique un secreto, consulte.Especificación de información confidencial mediante Secrets Manageren laGuía para desarrolladores de Amazon Elastic Con.

[ECS.10] Los servicios de Fargate deben ejecutarse en la última versión de la plataforma Fargate

Categoría: Identificar > Administración de vulnerabilidades, parches y versiones

Gravedad: Media

Tipo de recurso AWS::ECS::Service

Regla de AWS Config: ecs-fargate-latest-platform-version

Tipo programación Cambios activados

Parámetros: Ninguno

Este control comprueba si los servicios de Amazon ECS Fargate ejecutan la versión más reciente de la plataforma Fargate. Este control falla si la versión de la plataforma no es la más reciente.

AWS FargateLas versiones de la plataforma hacen referencia a un entorno en tiempo de ejecución específico para la infraestructura de tareas de Fargate, que es una combinación de versiones en tiempo de ejecución del kernel y Las nuevas versiones de la plataforma se publican a medida que evoluciona el entorno de ejecución. Por ejemplo, se puede lanzar una nueva versión para actualizaciones del kernel o del sistema operativo, características nuevas, correcciones de errores o actualizaciones de seguridad. Las actualizaciones y los parches de seguridad se implementan automáticamente para las tareas de Fargate. Si se encuentra un problema de seguridad que afecta a una versión de la plataforma, AWS parchea la versión de la plataforma.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para actualizar un servicio existente, incluida su versión de plataforma, consulteActualización de un servicioen laGuía para desarrolladores de Amazon Elastic Con.

[ECS.12] Los clústeres de ECS deben tener habilitado Container Insights

Categoría: Identificar - Registro

Gravedad: Media

Tipo de recurso AWS::ECS::Cluster

Regla de AWS Config: ecs-container-insights-enabled

Tipo programación Cambios activados

Parámetros: Ninguno

Este control comprueba si los clústeres de ECS usan Container Insights Este control falla si Container Insights no está configurado para un clúster.

La monitorización es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el desempeño de los clústeres de Amazon ECS. Usar CloudWatch Container Insights para recopilar, agregar y resumir métricas y registros de sus aplicaciones en contenedores y microservicios. CloudWatch recopila automáticamente métricas de muchos recursos, como CPU, memoria, disco y red. Container Insights también proporciona información de diagnóstico, como, por ejemplo, errores de reinicio de contenedores, para ayudarle a aislar problemas y solucionarlos rápidamente. También puede configurar CloudWatch alarmas en las métricas que recopila Container Insights.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • Europa (Milán)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para utilizar Container Insights, consulteActualización de un servicioen laAmazon CloudWatch Guía del usuario de.

[EFS.1] Amazon EFS debe configurarse para cifrar los datos del archivo en reposo medianteAWS KMS

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Gravedad: Media

Tipo de recurso AWS::EFS::FileSystem

Regla de AWS Config: efs-encrypted-check

Tipo programación Periódico

Parámetros: Ninguno

Este control comprueba si Amazon Elastic File System está configurado para cifrar los datos del archivo medianteAWS KMS. La comprobación falla en los siguientes casos.

Tenga en cuenta que este control no utiliza el parámetro KmsKeyId para efs-encrypted-check. Solo comprueba el valor de Encrypted.

Para obtener una capa adicional de seguridad para la información confidencial en Amazon EFS, debe crear sistemas de archivos cifrados. Amazon EFS admite el cifrado de los sistemas de archivos en reposo. Puede habilitar el cifrado de datos en reposo al crear un sistema de archivos de Amazon EFS. Para obtener más información sobre el cifrado de Amazon EFS, consulteCifrado de datos en Amazon EFSen laGuía de archivo Amazon Elastic File System.

nota

Este control no se admite en África (Ciudad del Cabo) o Europa (Milán).

Corrección

Para obtener información detallada sobre cómo cifrar un nuevo sistema de archivos de Amazon EFS, consulteCifrado de datos en reposoen laGuía de archivo Amazon Elastic File System.

[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo

Categoría: Recuperación > Resiliencia > Backup

Gravedad: Media

Tipo de recurso AWS::EFS::FileSystem

Regla de AWS Config: efs-in-backup-plan

Tipo programación Periódico

Parámetros: Ninguno

Este control comprueba si los sistemas de archivos Amazon Elastic File System (Amazon EFS) se agregan a los planes de copia de seguridad enAWS Backup. El control falla si los sistemas de archivos de Amazon EFS no están incluidos en los planes de copia de seguridad.

La inclusión de sistemas de archivos EFS en los planes de respaldo le ayuda a proteger sus datos contra la eliminación y la pérdida de datos.

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • Europa (Milán)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Para solucionar este problema, actualice el sistema de archivos para habilitar las copias de seguridad automáticas.

Para habilitar las copias de seguridad automáticas para un sistema de archivos existente

  1. Abra la consola de Amazon Elastic File System en https://console.aws.amazon.com/efs/.

  2. En la páginaSistemas de archivos, seleccione el sistema de archivos para el que desea habilitar copias de seguridad automáticas.

    LaDetalles del sistema de archivosse abre la página.

  3. UnderGeneral, eligeEditar.

  4. Para habilitar copias de seguridad automáticas, seleccioneHabilitar copias de seguridad automáticas.

  5. Elija Save changes (Guardar cambios).

Para obtener más información, visiteUso deAWS Backupcon Amazon EFSen laGuía de archivo Amazon Elastic File System.

[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

Categoría: Proteger - Administración segura del acceso

Gravedad: Media

Tipo de recurso AWS::EFS::AccessPoint

Regla de AWS Config: efs-access-point-enforce-root-directory

Tipo programación Cambios activados

Parámetros: Ninguno

Este control comprueba si los puntos de acceso de Amazon EFS están configurados para aplicar un directorio raíz. El control falla si el valor dePathtoma el valor/(el directorio raíz predeterminado del sistema de archivos).

Cuando se aplica un directorio raíz, el cliente NFS que utiliza el punto de acceso utiliza el directorio raíz configurado en el punto de acceso en lugar del directorio raíz del sistema de archivos. La aplicación de un directorio raíz para un punto de acceso ayuda a restringir el acceso a los datos al garantizar que los usuarios del punto de acceso solo puedan acceder a los archivos del subdirectorio especificado.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Para obtener instrucciones sobre cómo aplicar un directorio raíz para un punto de acceso de Amazon EFS, consulteAplicación de un directorio raíz con un punto de accesoen laGuía de archivo Amazon Elastic File System.

[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario

Categoría: Proteger - Administración segura del acceso

Gravedad: Media

Tipo de recurso AWS::EFS::AccessPoint

Regla de AWS Config: efs-access-point-enforce-user-identity

Tipo programación Cambios activados

Parámetros: Ninguno

Este control comprueba si los puntos de acceso de Amazon EFS están configurados para aplicar una identidad de usuario. Este control falla si no se define una identidad de usuario POSIX al crear el punto de acceso EFS.

Los puntos de acceso de Amazon EFS son puntos de entrada específicos que la aplicación utiliza para acceder a un sistema de archivos de EFS y que facilitan la administración del acceso de las aplicaciones a conjuntos de datos compartidos. Los puntos de acceso pueden imponer una identidad de usuario, incluidos los grupos POSIX del usuario, para todas las solicitudes del sistema de archivos que se realizan a través del punto de acceso. Los puntos de acceso también pueden imponer un directorio raíz diferente para el sistema de archivos, de modo que los clientes solo puedan acceder a los datos del directorio especificado o de sus subdirectorios.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para aplicar una identidad de usuario para un punto de acceso de Amazon EFS, consulteAplicación de la identidad de un usuario mediante un punto de accesoen laGuía de archivo Amazon Elastic File System.

[EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes

Categoría: Identificar > Administración de vulnerabilidades, parches y versiones

Gravedad: Alta

Tipo de recurso AWS::EKS::Cluster

Regla de AWS Config: eks-cluster-supported-version

Tipo programación Cambios activados

Parámetros:

  • eks:oldestVersionSupported(La versión actual más antigua compatible es la 1.19)

Este control comprueba si un clúster de Amazon EKS se ejecuta en una versión de Kubernetes compatible. El control falla si el clúster de EKS se ejecuta en una versión no compatible.

Si su aplicación no requiera una versión específica de Kubernetes, recomendamos que use la versión más reciente de Kubernetes disponible admitida por EKS para sus clústeres. Para obtener más información acerca de las versiones de Kubernetes compatibles con Amazon EKS, consulte.Calendario de lanzamiento de Amazon EKS KubernetesyPreguntas frecuentes y soporte de versión de Amazon EKS/para > en laAmazon EKS User Guide.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para actualizar un clúster de EKS,Actualización de una versión de Kubernetes de clúster de Amazon EKS/para > en laAmazon EKS User Guide.

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deben tener habilitados los informes de estado mejorados

Categoría: Detectar - Servicios de detección - Supervisión de aplicaciones

Gravedad: Baja

Tipo de recurso AWS::ElasticBeanstalk::Environment

Regla de AWS Config: beanstalk-enhanced-health-reporting-enabled

Tipo programación Cambios activados

Parámetros: Ninguno

Este control comprueba si los informes de estado mejorados están habilitados paraAWS Elastic BeanstalkEntornos de

Los informes de estado mejorados de Elastic Beanstalk permiten una respuesta más rápida a los cambios en el estado de la infraestructura subyacente. Estos cambios podrían provocar una falta de disponibilidad de la aplicación.

Los informes de estado mejorados de Elastic Beanstalk proporcionan un descriptor de estado para medir la gravedad de los problemas identificados e identificar las posibles causas para investigar. El agente de estado de Elastic Beanstalk, incluido en las imágenes de máquina de Amazon (AMI) compatibles, evalúa los registros y las métricas de las instancias de EC2 del entorno.

Para obtener información adicional, consulteInformes y monitorización de estado mejoradosen laAWS Elastic BeanstalkGuía para desarrolladores.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para obtener instrucciones sobre cómo habilitar los informes de estado mejorados, consulteHabilitación de informes de estado mejorados mediante la consola de Elastic Beanstalken laAWS Elastic BeanstalkGuía para desarrolladores.

[ElasticBeanstalk.2] Deben habilitarse las actualizaciones de la plataforma gestionada de Elastic Beanstalk

Categoría: Detectar > Administración de vulnerabilidades, parches y versiones

Gravedad: Alta

Tipo de recurso AWS::ElasticBeanstalk::Environment

Regla de AWS Config: elastic-beanstalk-managed-updates-enabled

Tipo programación Cambios activados

Parámetros: Ninguno

Este control comprueba si las actualizaciones de plataforma administradas están habilitadas para el entorno de Elastic Beanstalk.

La activación de las actualizaciones de plataforma administradas garantiza que se instalen las últimas correcciones, actualizaciones y funciones de la plataforma disponibles para el entorno. Mantenerse al día con la instalación de parches es un paso importante para asegurar los sistemas.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para obtener instrucciones sobre cómo habilitar las actualizaciones de la plataforma administrada, consultePara configurar las actualizaciones administradas de la plataforma en Actualizaciones administradas deen laAWS Elastic BeanstalkGuía para desarrolladores.

[ELB.2] Los balanceadores de carga clásicos con escuchas HTTPS/SSL deben usar un certificado proporcionado porAWS Certificate Manager

Categoría: Proteger - Cifrado de datos en tránsito

Gravedad: Media

Tipo de recurso AWS::ElasticLoadBalancing::LoadBalancer

Regla de AWS Config: elb-acm-certificate-required

Tipo programación Cambios activados

Parámetros: Ninguno

Este control comprueba si el Classic Load Balancer utiliza los certificados HTTPS/SSL proporcionados porAWS Certificate Manager(LEVA). El control falla si el Classic Load Balancer configurado con la escucha HTTPS/SSL no usa un certificado proporcionado por ACM.

Para crear un certificado, puede utilizar ACM o una herramienta que admita los protocolos SSL y TLS, como OpenSSL. Security Hub recomienda que utilice ACM para crear o importar certificados en el balanceador de carga.

ACM se integra con los balanceadores de carga clásicos, lo que le permite implementar el certificado en el balanceador de carga. También debe renovar estos certificados automáticamente.

nota

Estos controles no se admiten en las siguientes regiones:

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • Europa (Milán)

  • AWS GovCloud (EE. UU. Este)

Corrección

Para obtener información sobre cómo asociar un certificado SSL/TLS de ACM con un Classic Load Balancer, consulte el artículo del Centro de conocimiento¿Cómo puedo asociar un certificado SSL/TLS de ACM a un balanceador de carga clásico, de aplicación o de red?

[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con terminación HTTPS o TLS

Categoría: Proteger - Protección de datos en tránsito

Gravedad: Media

Tipo de recurso AWS::ElasticLoadBalancing::LoadBalancer

Regla de AWS Config: elb-tls-https-listeners-only

Tipo programación Cambios activados

Parámetros: Ninguno

Este control comprueba si sus escuchas del Classic Load Balancer están configurados con el protocolo HTTPS o TLS para las conexiones frontend (entre el cliente y el balanceador de carga). El control se aplica si un Classic Load Balancer tiene escuchas. Si el Classic Load Balancer no tiene configurado un agente de escucha, el control no informa de ningún hallazgo.

El control pasa si los oyentes de Classic Load Balancer están configurados con TLS o HTTPS para las conexiones front-end.

El control falla si el listener no está configurado con TLS o HTTPS para las conexiones front-end.

Antes de comenzar a utilizar un balanceador de carga, debe agregar uno o varios agentes de escucha. Un agente de escucha es un proceso que utiliza el protocolo y el puerto configurados para comprobar las solicitudes de conexión. Los agentes de escucha pueden admitir los protocolos HTTP y HTTPS/TLS. Siempre debes usar un agente de escucha HTTPS o TLS, de modo que el balanceador de cargas realice el trabajo de cifrado y descifrado en tránsito.

Corrección

Para solucionar este problema, actualice sus oyentes para que usen el protocolo TLS o HTTPS.

Para cambiar todos los agentes de escucha no conformes a agentes de escucha TLS/HTTPS

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Load Balancers. A continuación, seleccione su Classic Load Balancer.

  3. Elija el iconoAgentes de escuchay, a continuación, elijaEditar.

  4. Para todos los oyentes en los queProtocolo Load Balancer de cargano está establecido en HTTPS o SSL, cambie la configuración a HTTPS o SSL.

  5. Para todos los oyentes modificados, enSSL Certificate, eligeCambio.

  6. Para todos los oyentes modificados, seleccioneElija un certificado de ACM.

  7. Seleccione el certificado en la listaCertificados. A continuación, elija Save.

  8. Después de actualizar todos los oyentes, eligeGuardar.

[ELB.4] Los balanceadores de carga de aplicaciones deben configurarse para descartar encabezados HTTP

Categoría: Proteger > Seguridad de la red

gravedad: Media

Tipo: AWS::ElasticLoadBalancing::LoadBalancer

Regla de AWS Config: alb-http-drop-invalid-header-enabled

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control evalúaAWSBalanceadores de carga de aplicaciones para garantizar que estén configurados para descartar encabezados HTTP no válidos. El control falla si el valor derouting.http.drop_invalid_header_fields.enabledtoma el valorfalse.

De forma predeterminada, los balanceadores de carga de aplicaciones no están configurados para descartar valores de encabezado HTTP no válidos. La eliminación de estos valores de encabezado evita los ataques de desincronización HTTP.

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

Corrección

Para solucionar este problema, configura el balanceador de cargas para que elimine los campos de encabezado no válidos.

Para configurar el balanceador de carga para que deje caer campos de encabezado no válidos

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Load balancers (Balanceadores de carga).

  3. Elija un Application Load Balancer.

  4. DesdeActions, eligeEditar atributos.

  5. UNDEREliminar campos de encabezados no válidos, eligeHabilitar.

  6. Seleccione Save (Guardar).

[ELB.5] Se debe habilitar el registro de balanceadores de carga clásicos y de aplicaciones

Categoría: Registro

gravedad: Media

Tipo: AWS::ElasticLoadBalancing::LoadBalancer

Regla de AWS Config: elb-logging-enabled

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si el balanceador de carga de aplicaciones y el balanceador de carga clásico tienen el registro habilitado. El control falla siaccess_logs.s3.enabledesfalse.

Elastic Load Balancing proporciona registros de acceso que capturan información detallada sobre las solicitudes enviadas al balanceador de carga. Cada log contiene distintos datos, como el momento en que se recibió la solicitud, la dirección IP del cliente, las latencias, las rutas de solicitud y las respuestas del servidor. Puede utilizar estos registros de acceso para analizar los patrones de tráfico y solucionar problemas.

Para obtener más información, consulteRegistros de acceso del Classic Load BalancerenGuía del usuario para Classic Load Balancers.

Corrección

Para solucionar este problema, actualiza los equilibradores de carga para habilitar el registro.

Para habilitar los registros de acceso

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Load balancers (Balanceadores de carga).

  3. Elija un Application Load Balancer.

  4. DesdeActions, eligeEditar atributos.

  5. UNDERLogs de acceso, eligeHabilitar.

  6. Introduzca su ubicación de S3. Esta ubicación puede existir o crearse para usted. Si no especifica un prefijo, los logs de acceso se almacenarán en la raíz del bucket de S3.

  7. Seleccione Save (Guardar).

[ELB.6] La protección contra eliminación del balanceador de carga de aplicaciones debe estar habilitada

Categoría: Recuperación > Resiliencia > Alta disponibilidad

gravedad: Media

Tipo: AWS::ElasticLoadBalancingV2::LoadBalancer

Regla de AWS Config: elb-deletion-protection-enabled

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si un Application Load Balancer tiene habilitada la protección contra eliminación. El control falla si la protección contra eliminación no está configurada.

Active la protección contra eliminaciones para proteger el balanceador de carga de aplicaciones contra la eliminación.

Corrección

Para evitar que el balanceador de carga se elimine por error, puede habilitar la protección contra eliminación. De forma predeterminada, la protección contra eliminación del balanceador de carga está deshabilitada.

Si habilita la protección contra eliminación del balanceador de carga, deberá deshabilitarla para poder eliminarlo.

Para habilitar la protección contra eliminación desde la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, en LOAD BALANCING (EQUILIBRIO DE CARGA), elija Load Balancers (Balanceadores de carga).

  3. Elija el balanceador de carga.

  4. En la pestaña Descriptions, elija Edit attributes.

  5. En la páginaEditar los atributos del balanceador de carga, seleccioneHabilitar la protección contra eliminacióny luegoGuardar.

  6. Seleccione Save (Guardar).

Para obtener más información, consulteDeletion protection (Protección contra eliminación)enGuía del usuario para Application Load Balancers.

[ELB.7] Los balanceadores de carga clásicos deben tener habilitado el drenaje de conexiones

Categoría: Recover

gravedad: Media

Tipo: AWS::ElasticLoadBalancing::LoadBalancer

Regla de AWS Config: elb-connection-draining-enabled (Regla personalizada desarrollada por Security Hub)

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si los balanceadores de carga clásicos tienen habilitado el drenaje de conexiones.

Si habilita el vaciado de conexiones en los balanceadores de carga clásicos, se garantiza que el balanceador de carga deje de enviar solicitudes a las instancias que están en proceso de anulación del registro o Mantiene abiertas las conexiones existentes. Esto es particularmente útil para las instancias de los grupos de Auto Scaling, para garantizar que las conexiones no se interrumpan abruptamente.

Corrección

Para habilitar el vaciado de conexiones en los balanceadores de carga clásicos, sigue los pasos que se describen enConfiguración de Connection Draining en el balanceador de carga clásicoenGuía del usuario para Classic Load Balancers.

[ELB.8] Los balanceadores de carga clásicos con escuchas HTTPS/SSL deben usar una política de seguridad predefinida que tenga una configuración sólida

Categoría: Proteger - Cifrado de datos en tránsito

gravedad: Media

Tipo: AWS::ElasticLoadBalancing::LoadBalancer

Regla de AWS Config: elb-predefined-security-policy-ssl-check

Tipo: programación: Cambio activado

Parámetros:

  • predefinedPolicyName: ELBSecurityPolicy-TLS-1-2-2017-01

Este control comprueba si los agentes de escucha HTTPS/SSL de Classic Load Balancer usan la política predefinida.ELBSecurityPolicy-TLS-1-2-2017-01. El control falla si los agentes de escucha HTTPS/SSL de Classic Load Balancer no usanELBSecurityPolicy-TLS-1-2-2017-01.

Una política de seguridad es una combinación de protocolos SSL, cifrados y la opción de preferencia del orden del servidor. Las políticas predefinidas controlan los cifrados, los protocolos y los órdenes de preferencia que deben admitirse durante las negociaciones SSL entre un cliente y un balanceador de carga.

Uso deELBSecurityPolicy-TLS-1-2-2017-01puede ayudarle a ajustarse a los estándares de seguridad y conformidad que requieren que deshabilite versiones específicas de SSL y TLS. Para obtener más información, consultePolíticas de seguridad SSL predefinidas para los balanceadores de carga clásicosenGuía del usuario para Classic Load Balancers.

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

  • AWS GovCloud (EE. UU.

Corrección

Para obtener información sobre cómo usar la política de seguridad predefinidaELBSecurityPolicy-TLS-1-2-2017-01con un Classic Load Balancer, consulteEstablecimiento de la configuración de seguridadenGuía del usuario para Classic Load Balancers.

[ELB.9] Los balanceadores de cargas clásicos deben tener habilitado el balanceo de cargas entre zonas

Categoría: Recuperación > Resiliencia > Alta disponibilidad

gravedad: Media

Tipo: AWS::ElasticLoadBalancing::LoadBalancer

Regla de AWS Config: elb-cross-zone-load-balancing-enabled

Tipo: programación: Cambio activado

Parámetros:

  • predefinedPolicyName: ELBSecurityPolicy-TLS-1-2-2017-01

Este control comprueba si el balanceo de carga entre zonas está habilitado para los balanceadores de carga clásicos (CLB). Este control falla si el equilibrio de carga entre zonas no está habilitado para un CLB.

Un nodo del balanceador de carga distribuye el tráfico solo entre los destinos registrados en su zona de disponibilidad. Cuando el balanceo de carga entre zonas está deshabilitado, cada nodo del balanceador de carga distribuye el tráfico únicamente entre los destinos registrados de su zona de disponibilidad. Si el número de destinos registrados no es el mismo en las zonas de disponibilidad, el tráfico no se distribuirá de manera uniforme y las instancias de una zona pueden terminar sobreutilizadas en comparación con las instancias de otra zona. Con cross-zone load balancing habilitado, cada nodo del balanceador de carga de su Classic Load Balancer distribuye las solicitudes equitativamente entre todas las zonas de disponibilidad habilitadas. Para obtener más información, consulte .Balance de carga entre zonasen la Guía del usuario Elastic Load Balancing Load Bal

nota

Este control no es compatible en África (Ciudad del Cabo).

Corrección

Para habilitar el balanceo de carga entre zonas en un Classic Load Balancer, consulteHabilitación del equilibrio de carga entre zonasen la Guía del usuario Elastic Load Balancing Load Bal

[ELB.10] Los balanceadores de carga clásicos deben abarcar varias zonas de disponibilidad

Categoría: Recuperación > Resiliencia > Alta disponibilidad

gravedad: Media

Tipo: AWS::ElasticLoadBalancing::LoadBalancer

Regla de AWS Config: clb-multiple-az

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si un Classic Load Balancer se ha configurado para abarcar varias zonas de disponibilidad. El control falla si el Classic Load Balancer no abarca varias zonas de disponibilidad.

Se puede configurar un Classic Load Balancer para que las solicitudes de entrada se distribuyan entre las instancias de Amazon EC2 de una única zona de disponibilidad o de varias. Un Classic Load Balancer que no abarca varias zonas de disponibilidad no puede redirigir el tráfico a los destinos de otra zona de disponibilidad si la única zona de disponibilidad configurada deja de estar disponible.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU.

  • AWS GovCloud (US-West)

Corrección

Para obtener información sobre cómo añadir zonas de disponibilidad a un Classic Load Balancer, consultaAgregado o eliminación de zonas de disponibilidaden laGuía del usuario para Classic Load Balancers.

[ELB.12] Los balanceadores de carga de aplicaciones deben configurarse con el modo de mitigación de desincronización defensivo o más estricto

Categoría: Protección de datos > integridad de los datos

gravedad: Media

Tipo: AWS::ElasticLoadBalancing::LoadBalancer

Regla de AWS Config: alb-desync-mode-check

Tipo: programación: Cambio activado

Parámetros:

  • desyncMode: defensiva, más estricta

Este control comprueba si un Application Load Balancer está configurado con el modo de mitigación de desincronización defensivo o el más estricto. El control falla si un Application Load Balancer no está configurado con el modo de mitigación de desincronización defensivo o más estricto.

Los problemas de desincronización HTTP pueden provocar contrabando de solicitudes y hacer que las aplicaciones sean vulnerables al envenenamiento de la caché o la cola A su vez, estas vulnerabilidades pueden provocar el secuestro de credenciales o la ejecución de comandos no autorizados. Los balanceadores de carga de aplicaciones configurados con el modo de mitigación de desincronización defensivo o más estricto protegen tu aplicación de los problemas de seguridad que pueden ser causados por la desincronización de HTTP.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Para actualizar el modo de mitigación de desincronización de un Application Load Balancer, consulteModo de mitigación de desincronizaciónen laGuía del usuario para Application Load Balancers.

[ELB.13] Los balanceadores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad de gravedad Media

Tipo: AWS::ElasticLoadBalancingV2::LoadBalancer

Regla de AWS Config: elbv2-multiple-az

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si un Elastic Load Balancer V2 (balanceador de carga de aplicaciones, redes o puertas de enlace) ha registrado instancias de varias zonas de disponibilidad. El control falla si un Elastic Load Balancer V2 tiene instancias registradas en menos de dos zonas de disponibilidad.

Elastic Load Balancing distribuye automáticamente el tráfico entrante entre varios destinos, por ejemplo, instancias EC2, contenedores y direcciones IP en una o varias zonas de disponibilidad. Elastic Load Balancing escala el balanceador de carga a medida que el tráfico entrante va cambiando con el tiempo. Se recomienda configurar al menos dos zonas de disponibilidad para garantizar la disponibilidad de los servicios, ya que Elastic Load Balancer podrá dirigir el tráfico a otra zona de disponibilidad si una deja de estar disponible. Tener varias zonas de disponibilidad configuradas ayudará a eliminar un único punto de falla para la aplicación.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para agregar una zona de disponibilidad a un Application Load Balancer, consulteZonas de disponibilidad del Application Load Balanceren laGuía del usuario para Application Load Balancers. Para añadir una zona de disponibilidad a un Network Load Balancer, consultaNetwork Load Balancersen laGuía del usuario para Network Load Balancers. Para agregar una zona de disponibilidad a un Load Balancer de puerta de enlace, consulteCreación de un Load Balancer de gatewayen laGuía del usuario de balanceadores de carga de gateway.

[ELB.14] Los balanceadores de carga clásicos deben configurarse con el modo de mitigación de desincronización defensivo o más estricto

Categoría: Protección de datos > Integridad de

Gravedad de gravedad Media

Tipo: AWS::ElasticLoadBalancing::LoadBalancer

Regla de AWS Config: clb-desync-mode-check

Tipo: programación: Cambio activado

Parámetros:

  • desyncMode: defensiva, más estricta

Este control comprueba si un Classic Load Balancer está configurado con el modo de mitigación de desincronización defensivo o el más estricto. Este control fallará si el Application Load Balancer no está configurado con el modo de mitigación de desincronización defensivo o más estricto.

Los problemas de desincronización HTTP pueden provocar contrabando de solicitudes y hacer que las aplicaciones sean vulnerables al envenenamiento de la caché o la cola A su vez, estas vulnerabilidades pueden provocar el secuestro de credenciales o la ejecución de comandos no autorizados. Los balanceadores de carga clásicos configurados con el modo de mitigación de desincronización defensivo o más estricto protegen tu aplicación de los problemas de seguridad que pueden ser causados por la desincronización de HTTP.

nota

Este control no se admite en las siguientes regiones:

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para actualizar el modo de mitigación de desincronización de un Classic Load Balancer, consulteModificación del modo de mitigación de desincronizaciónen laGuía del usuario para Classic Load Balancers.

[ELBv2.1] El Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

Categoría: Proteger - Protección de datos en tránsito

Gravedad de gravedad Media

Tipo: AWS::ElasticLoadBalancingV2::LoadBalancer

Regla de AWS Config: alb-http-to-https-redirection-check

Tipo: programación: Periódico

Parámetros: Ninguno

Este control comprueba si el redireccionamiento HTTP a HTTPS está configurado en todos los agentes de escucha HTTP de los balanceadores de carga de aplicaciones. La comprobación falla si uno o varios agentes de escucha HTTP de balanceadores de carga de aplicaciones no tienen configurado el redireccionamiento HTTP a HTTPS.

Antes de comenzar a utilizar el Application Load Balancer, debe agregar uno o varios agentes de escucha. Un agente de escucha es un proceso que utiliza el protocolo y el puerto configurados para comprobar las solicitudes de conexión. Los agentes de escucha admiten los protocolos HTTP y HTTPS. Puede utilizar un agente de escucha HTTPS para trasladar la carga de cifrado y descifrado al Application Load Balancer. Debe usar acciones de redireccionamiento con Application Load Balancer para redirigir la solicitud HTTP del cliente hacia una solicitud HTTPS en el puerto 443 para forzar el cifrado en tránsito.

Para obtener más información, consulteAgentes de escucha para Application Load BalancerenGuía del usuario para Application Load Balancers.

nota

Este control no se admite en África (Ciudad del Cabo) o Europa (Milán).

Corrección

Para solucionar este problema, actualiza los balanceadores de cargas para redirigir las solicitudes HTTP.

Para redirigir solicitudes HTTP a HTTPS en un Application Load Balancer

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Load balancers (Balanceadores de carga).

  3. Elija un Application Load Balancer.

  4. Elija la pestaña Listeners (Agentes de escucha).

  5. Elija un agente de escucha HTTP (puerto 80 TCP) y, a continuación, Edit (Editar).

  6. Si existe una regla, deberá eliminarla. De lo contrario, elija Add action (Agregar acción) y, a continuación, Redirect to... (Redirigir hacia...).

  7. Elija HTTPS y, a continuación, escriba 443.

  8. Seleccione la marca de verificación dentro de un símbolo de círculo y, a continuación, elija Update (Actualizar).

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

Categoría: Proteger - Configuración de red segura

Gravedad de gravedad Alta

Tipo: AWS::EMR::Cluster

Regla de AWS Config: emr-master-no-public-ip

Tipo: programación: Periódico

Parámetros: Ninguno

Este control comprueba si los nodos maestros de los clústeres de Amazon EMR tienen direcciones IP públicas.

El control falla si el nodo maestro tiene direcciones IP públicas que están asociadas a cualquiera de sus instancias. Las direcciones IP públicas se designan en laPublicIpfield deNetworkInterfacesconfiguración de la instancia. Este control solo comprueba los clústeres de Amazon EMR que están en unRUNNINGoWAITINGseleccionar seleccionar.

nota

Este control no se admite en África (Ciudad del Cabo) o Europa (Milán).

Corrección

Durante el lanzamiento, puede controlar si se asignará a la instancia de una subred predeterminada o no predeterminada una dirección IPv4 pública.

De forma predeterminada, las subredes predeterminadas tienen este atributo establecido entrue. Las subredes no predeterminadas tienen el atributo de direcciones IPv4 públicas configurado comofalse, a menos que haya sido creado por el asistente de lanzamiento de instancias de Amazon EC2. En ese caso, el asistente establece el atributo entrue.

Debe lanzar el clúster en una VPC con una subred privada que tenga el atributo de direccionamiento público IPv4 establecido enfalse.

Tras el lanzamiento, no se puede desasociar manualmente una dirección IPv4 pública desde su instancia.

Para corregir este hallazgo, debe crear un clúster nuevo en la subred privada de VPC. Para obtener información sobre cómo lanzar un clúster en una subred privada de VPC, consultaLanzar clústeres en una VPCen laGuía de administración de Amazon EMR.

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

Categoría: Proteger - Protección de datos en reposo

Gravedad de gravedad Media

Tipo: AWS::Elasticsearch::Domain

Regla de AWS Config: elasticsearch-encrypted-at-rest

Tipo: programación: Periódico

Parámetros: Ninguno

Este control comprueba si los dominios de Elasticsearch de tienen habilitado el cifrado en reposo. La comprobación falla si el cifrado en reposo no está habilitado.

Para obtener una capa adicional de seguridad para sus datos confidenciales en OpenSearch, debes configurar tu OpenSearch para cifrarse en reposo. Los dominios de Elasticsearch ofrecen cifrado de datos en reposo. La funcionalidad utiliza AWS KMS para almacenar y administrar las claves de cifrado. Para realizar el cifrado, utiliza el algoritmo Estándar de cifrado avanzado con claves de 256 bits (AES-256).

Para obtener más información OpenSearch cifrado en reposo, consulteCifrado de datos en reposo para Amazon OpenSearch Service (Servicio)en laAmazon OpenSearch Guía para desarrolladores de servicios.

nota

Ciertos tipos de instancias, comot.smallyt.medium, no admiten el cifrado de datos en reposo. Para obtener más información, consulte .Tipos de instancias admitidosen laAmazon OpenSearch Guía para desarrolladores de servicios.

Corrección

De forma predeterminada, los dominios no cifran los datos en reposo y no puede configurar los dominios existentes para que utilicen la característica.

Para habilitar esta característica, debe crear otro dominio y migrar sus datos. Para obtener información sobre la creación de dominios, consulte laAmazon OpenSearch Guía para desarrolladores de servicios.

El cifrado de datos en reposo requiere OpenSearch Servicio 5.1 o posterior. Para obtener más información acerca del cifrado de datos en reposo para OpenSearch Servicio, consulte laAmazon OpenSearch Guía para desarrolladores de servicios.

[ES.2] Los dominios de Elasticsearch deben estar en una VPC

Categoría: Proteger - Configuración de red segura > Recursos dentro de la VPC

Gravedad de gravedad Critical

Tipo: AWS::Elasticsearch::Domain

Regla de AWS Config: elasticsearch-in-vpc-only

Tipo: programación: Periódico

Parámetros: Ninguno

Este control de comprueba si los dominios de Elasticsearch se encuentran en una VPC. No evalúa la configuración de direccionamiento de subred de VPC para determinar el acceso público. Debe asegurarse de que los dominios de Elasticsearch no están asociados a subredes públicas. ConsultePolíticas basadas en recursosen laAmazon OpenSearch Guía para desarrolladores de servicios. También debe asegurarse de que la VPC esté configurada de acuerdo con las prácticas recomendadas. ConsultePrácticas recomendadas de seguridad de la VPCen laAmazon VPC User Guide.

Los dominios de Elasticsearch implementados dentro de una VPC pueden comunicarse con los recursos de la VPC a través deAWSred, sin necesidad de atravesar la Internet pública. Esta configuración aumenta la postura de seguridad al limitar el acceso a los datos en tránsito. Las VPC proporcionan una serie de controles de red para proteger el acceso a los dominios de Elasticsearch, incluidas las ACL de red y los grupos de seguridad. Security Hub recomienda migrar los dominios públicos de Elasticsearch a las VPC para aprovechar estos controles.

Corrección

Si crea un dominio con un punto de enlace público, no podrá colocarlo posteriormente en una VPC. En lugar de ello, se debe crear un dominio nuevo y migrar los datos. y viceversa. Si crea un dominio dentro de una VPC, no puede tener un punto de enlace público. En su lugar, debe crear otro dominio o deshabilitar este control.

ConsulteLanzar tu Amazon OpenSearch Servicios públicos dentro de una VPCen laAmazon OpenSearch Guía para desarrolladores de servicios.

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre los nodos

Categoría: Proteger - Protección de datos en tránsito

Gravedad de gravedad Media

Tipo: AWS::Elasticsearch::Domain

Regla de AWS Config: elasticsearch-node-to-node-encryption-check

Tipo: programación: Cambio activado

Parámetros: Ninguno

Este control comprueba si los dominios de Elasticsearch tienen node-to-node cifrado habilitado.

HTTPS (TLS) se puede utilizar para ayudarle a evitar posibles ataques de acceso no autorizado o de manipulación del tráfico de red mediante person-in-the-middle o ataques similares. Solo deben permitirse conexiones cifradas sobre HTTPS (TLS). Habilitación node-to-node cifrado para los dominios de Elasticsearch garantiza que las comunicaciones dentro del clúster se cifren en tránsito.

Puede haber una penalización de rendimiento asociada a esta configuración. Debe conocer y probar la compensación de rendimiento antes de habilitar esta opción.

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • China (Pekín)

  • China (Ningxia)

  • Europa (Milán)

Corrección

Para obtener información acerca de cómo habilitar node-to-node cifrado en dominios nuevos y existentes, consulteHabilitación node-to-nodecriptografíaen laAmazon OpenSearch Guía para desarrolladores de servicios.

[ES.4] Error de dominio de Elasticsearch al iniciar sesión en CloudWatch Los registros deben estar habilitados

Categoría: Identificar - Registro

Gravedad de gravedad Media

Tipo: AWS::Elasticsearch::Domain

Regla de AWS Config: elasticsearch-logs-to-cloudwatch

Tipo: programación: Cambios activados

Parámetros:

  • logtype = 'error'

Este control comprueba si los dominios de Elasticsearch están configurados para enviar registros de errores a CloudWatch Registros.

Debes habilitar los registros de errores para los dominios de Elasticsearch y enviarlos a CloudWatch Registros de retención y respuesta. Los registros de errores de dominio pueden ayudar con las auditorías de seguridad y acceso, y pueden ayudar a diagnosticar problemas de disponibilidad.

nota

Este control no se admite en las siguientes regiones:

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Para obtener información sobre cómo habilitar la publicación de registros, consulteHabilitación de la publicación de registros (consola)en laAmazon OpenSearch Guía para desarrolladores de servicios.

[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría

Categoría: Identificar - Registro

Gravedad de gravedad Media

Tipo: AWS::Elasticsearch::Domain

Regla de AWS Config: elasticsearch-audit-logging-enabled (Regla personalizada desarrollada por Security Hub)

Tipo: programación: Cambios activados

Parámetros:

  • cloudWatchLogsLogGroupArnList (Opcional). Security Hub no rellena este parámetro. Lista separada por comas de CloudWatch Registra los grupos de registros que se deben configurar para los registros de auditoría.

    Esta regla esNON_COMPLIANTsi el CloudWatch El grupo de registros de registros del dominio de Elasticsearch no se especifica en esta lista de parámetros.

Este control comprueba si los dominios de Elasticsearch tienen habilitado el registro de auditoría. Este control falla si un dominio de Elasticsearch no tiene habilitado el registro de auditoría.

Los registros de auditoría son muy personalizables. Le permiten realizar un seguimiento de la actividad de los usuarios en sus clústeres de Elasticsearch, incluidos los éxitos y los errores de autenticación, las solicitudes a OpenSearch, cambios en el índice y consultas de búsqueda entrantes.

Corrección

Para obtener instrucciones detalladas sobre cómo habilitar los registros de auditoría, consulteHabilitación de los registros de auditoríaen laAmazon OpenSearch Guía para desarrolladores de servicios.

[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad de gravedad Media

Tipo: AWS::Elasticsearch::Domain

Regla de AWS Config: elasticsearch-data-node-fault-tolerance (Regla personalizada desarrollada por Security Hub)

Tipo: programación: Cambios activados

Parámetros: Ninguno

Este control comprueba si los dominios de Elasticsearch están configurados con al menos tres nodos de datos yzoneAwarenessEnabledestrue.

Un dominio de Elasticsearch requiere al menos tres nodos de datos para lograr una alta disponibilidad y tolerancia a errores. La implementación de un dominio de Elasticsearch con al menos tres nodos de datos garantiza las operaciones del clúster si un nodo falla.

Corrección

Para modificar el número de nodos de datos en un dominio de Elasticsearch

  1. Abrir Amazon OpenSearch Consola de servicio enhttps://console.aws.amazon.com/es/.

  2. UNDERMy AMIs (, elija el nombre del dominio que desea editar.

  3. Elija Edit domain (Editar dominio).

  4. UNDERNodos de datos, conjuntoCantidad de nodosa un número mayor o igual que3.

    Para las implementaciones de tres zonas de disponibilidad, establezca un múltiplo de tres para garantizar una distribución equitativa en todas las zonas de disponibilidad.

  5. Elija Submit (Enviar).

[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad de gravedad Media

Tipo: AWS::Elasticsearch::Domain

Regla de AWS Config: elasticsearch-primary-node-fault-tolerance (Regla personalizada desarrollada por Security Hub)

Tipo de programación: Cambios activados

Parámetros: Ninguno

Este control comprueba si los dominios de Elasticsearch están configurados con al menos tres nodos maestros dedicados. Este control falla si el dominio no utiliza nodos maestros dedicados. Este control pasa si los dominios de Elasticsearch tienen cinco nodos maestros dedicados. Sin embargo, el uso de más de tres nodos maestros puede ser innecesario para mitigar el riesgo de disponibilidad y generará costos adicionales.

Un dominio de Elasticsearch requiere al menos tres nodos maestros dedicados para lograr una alta disponibilidad y tolerancia a errores. Los recursos del nodo maestro dedicado se pueden forzar durante las implementaciones azul/verde de los nodos de datos porque hay nodos adicionales que administrar. La implementación de un dominio de Elasticsearch con al menos tres nodos maestros dedicados garantiza una capacidad suficiente de recursos del nodo maestro y operaciones de clúster en caso de que un nodo falle.

Corrección

Para modificar el número de nodos maestros dedicados en un OpenSearch dominio

  1. Abrir Amazon OpenSearch Consola de servicio enhttps://console.aws.amazon.com/es/.

  2. UNDERMy AMIs (, elija el nombre del dominio que desea editar.

  3. Elija Edit domain (Editar dominio).

  4. UNDERNodos principales dedicados, conjuntoTipo de instanciaal tipo de instancia deseado.

  5. EstablezcaNúmero de nodos maestrosigual a tres o más.

  6. Elija Submit (Enviar).

[ES.8] Las conexiones a los dominios de Elasticsearch deben cifrarse mediante TLS 1.2

Categoría: Proteger - Protección de datos en tránsito

Gravedad de gravedad Media

Tipo de recurso: AWS::Elasticsearch::Domain

Regla de AWS Config: elasticsearch-https-required (Regla personalizada desarrollada por Security Hub)

Tipo de programación: Cambios activados

Parámetros: Ninguno

Este control comprueba si las conexiones a los dominios de Elasticsearch son necesarias para usar TLS 1.2. La comprobación falla si el dominio de ElasticsearchTLSSecurityPolicyno es Policy-Min-TLS-1-2-2019-07.

HTTPS (TLS) se puede usar para ayudar a evitar que los posibles atacantes usen person-in-the-middleo ataques similares para espiar o manipular el tráfico de la red. Solo deben permitirse conexiones cifradas sobre HTTPS (TLS). El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta función para comprender el perfil de rendimiento y el impacto de TLS. TLS 1.2 proporciona varias mejoras de seguridad con respecto a las versiones anteriores de TLS.

Corrección

Para habilitar el cifrado TLS, utilice laUpdateDomainConfigOperación de la API para configurarDomainEndpointOptionspara configurar elTLSSecurityPolicy. Para obtener más información, consulte laAmazon OpenSearch Guía para desarrolladores de servicios.

[GuardDuty.1] GuardDuty debe estar habilitado

Categoría: Detectar - Servicios de detección

Gravedad de gravedad Alta

Tipo de recurso: AWScuenta

Regla de AWS Config: guardduty-enabled-centralized

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba si Amazon GuardDuty está habilitado en su GuardDuty cuenta y región.

Se recomienda habilitar GuardDuty en todos losAWSRegiones. Hacerlo permite GuardDuty para generar hallazgos sobre la actividad no autorizada o inusual incluso en las regiones que no usa de forma activa. Esto también permite GuardDuty monitorear CloudTrail eventos para globalAWSservicios como IAM.

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • China (Pekín)

  • China (Ningxia)

  • Europe (Milan)

  • Middle East (Bahrain)

  • AWS GovCloud (EE. UU. Este)

Corrección

Para solucionar este problema, habilite GuardDuty.

Para obtener detalles acerca de la forma de activar GuardDuty, incluyendo cómo usarAWS Organizationspara administrar varias cuentas, consulteIntroducción al GuardDutyen laAmazon GuardDuty Guía del usuario de.

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos «*»

Categoría: Proteger - Administración de acceso seguro

Gravedad de gravedad Alta

Tipo de recurso: AWS::IAM::Policy

Regla de AWS Config: iam-policy-no-statements-with-admin-access

Tipo de programación: Cambios activados

Parámetros: Ninguno

Este control comprueba si la versión predeterminada de las políticas de IAM (también conocidas como políticas administradas por el cliente) tiene acceso de administrador que incluye una instrucción con «Effect»: «Allow» con «Action»: «*».

El control solo comprueba las políticas administradas por el cliente que haya creado usted. No se comprueba en línea yAWSpolíticas administradas.

Las políticas de IAM definen un conjunto de privilegios concedidos a usuarios, grupos o funciones. Siguiendo los consejos de seguridad estándar, AWS recomienda conceder privilegios mínimos, lo que significa conceder solo los permisos necesarios para realizar una tarea. Cuando proporciona privilegios administrativos completos en lugar del conjunto mínimo de permisos que necesita el usuario, expone los recursos a acciones potencialmente no deseadas.

En lugar de concederles privilegios administrativos totales, determine las tareas que tienen que realizar los usuarios y elabore políticas al respecto para permitir a los usuarios realizar solo esas tareas. Es más seguro comenzar con un conjunto mínimo de permisos y conceder permisos adicionales según sea necesario. No comience con permisos demasiado indulgentes para luego restringirlos más adelante.

Debe quitar las políticas de IAM que tienen una instrucción con"Effect": "Allow" con"Action": "*"sobre"Resource": "*".

Corrección

Para modificar las políticas de IAM de modo que no permitan privilegios administrativos completos"*», consulteEdición de políticas de IAMen laIAM User Guide.

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

Categoría: Proteger - Administración de acceso seguro

Gravedad de gravedad Baja

Tipo de recurso: AWS::IAM::User

Regla de AWS Config: iam-user-no-policies-check

Tipo de programación: Cambios activados

Parámetros: Ninguno

Este control comprueba que ninguno de los usuarios de IAM tenga políticas asociadas. Los usuarios de IAM deben heredar los permisos de los grupos o roles de IAM.

De forma predeterminada, los usuarios, grupos y roles de IAM no tienen acceso aAWSde AWS. Las políticas de IAM conceden privilegios a usuarios, grupos o roles. Recomendamos aplicar políticas de IAM directamente a grupos y roles, pero no a los usuarios. La asignación de privilegios en el nivel de grupo o rol reduce la complejidad de la administración del acceso a medida que crece el número de usuarios. A su vez, la reducción de la complejidad de la administración del acceso podría reducir la oportunidad de que una entidad principal reciba o conserve accidentalmente excesivos privilegios.

nota

Los usuarios de IAM creados por Amazon Simple Email Service se crean automáticamente mediante políticas insertadas. Security Hub exime automáticamente a estos usuarios de este control.

Corrección

Para solucionar este problema,crear un grupo de IAMy asociará la política al grupo. Luego,añadir los usuarios al grupo. La política se aplica a cada usuario del grupo. Para eliminar una política asociada directamente a un usuario, consulteAdición y eliminación de permisos de identidad de IAMen laIAM User Guide.

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

Categoría: Proteger - Administración de acceso seguro

Gravedad de gravedad Media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config: access-keys-rotated

Tipo de programación: Periódico

Parámetros:

  • maxAccessKeyAge: 90

Este control comprueba si las claves de acceso activas rotan en un plazo de 90 días.

Le recomendamos encarecidamente que no genere y elimine todas las claves de acceso de la cuenta. En su lugar, la práctica recomendada es crear uno o más roles de IAM o utilizarfederación. Puede utilizar estos métodos para permitir a los usuarios utilizar sus credenciales corporativas existentes para iniciar sesión en la AWS Management Console y la AWS CLI.

Cada enfoque tiene sus casos de uso. La federación es generalmente mejor para las empresas que tienen un directorio central o prevén que van a necesitar más que el límite actual de usuarios de IAM. Aplicaciones que se ejecutan fuera de unAWSEl entorno necesita claves de acceso para acceder mediante programación aAWSde AWS.

Sin embargo, si los recursos que necesitan acceso programático se ejecutan dentro AWS, la práctica recomendada es usar roles de IAM. Los roles le permiten conceder acceso a un recurso sin codificar de forma rígida un ID de clave de acceso y una clave de acceso secreta en la configuración.

Para obtener más información sobre la protección de las claves de acceso y la cuenta, consultePrácticas recomendadas para la administraciónAWSclaves de accesoen laAWSReferencia general de. Consulte también la publicación del blog sobre las pautas a seguir para proteger la cuenta de AWS mientras utiliza el acceso mediante programación.

Si ya tiene una clave de acceso, Security Hub recomienda que rote las claves de acceso cada 90 días. La rotación de las claves de acceso reduce la posibilidad de que se utilice una clave de acceso asociada a una cuenta en peligro o cancelada. También garantiza que no se pueda acceder a los datos con una clave antigua que podría haberse perdido, revelado o robado. Actualice siempre sus aplicaciones después de rotar las claves de acceso.

Las claves de acceso constan de un ID de clave de acceso y de una clave de acceso secreta. Se utilizan para firmar las solicitudes programáticas que haga aAWS.AWSlos usuarios necesitan sus propias claves de acceso para realizar llamadas mediante programación aAWSdesde lasAWS CLI, Tools for Windows PowerShell, elAWSSDK o llamadas HTTP directas mediante las operaciones de la API paraAWSServicios de .

Si su organización usaAWS IAM Identity Center (successor to AWS Single Sign-On)(Centro de identidad de IAM), los usuarios pueden iniciar sesión en Active Directory, en un directorio de IAM Identity Center de integrado ootro proveedor de identidades (IdP) conectado al Centro de identidades de IAM. A continuación, se pueden asignar a un rol de IAM que permite ejecutarAWS CLIcomandos o llamadaAWSOperaciones de API sin necesidad de claves de acceso de usuario de IAM. Para obtener más información, consulteConfiguración deAWS CLIseleccionar seleccionar seleccionar seleccionarAWS IAM Identity Center (successor to AWS Single Sign-On)en laAWS Command Line InterfaceGuía del usuario de.

nota

Este control no se admite en África (Ciudad del Cabo) o Europa (Milán).

Corrección

Para solucionar este problema, sustituya las claves que tengan más de 90 días.

Para asegurarse de que las claves de acceso no tengan más de 90 días

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Users (Usuarios).

  3. Para cada usuario que muestra una Access key age (Antigüedad de clave de acceso) superior a 90 días, elija el User name (Nombre de usuario) para abrir la configuración de ese usuario.

  4. Elija Security Credentials (Credenciales de seguridad).

  5. Crear una nueva clave para el usuario:

    1. Elija Create access key (Crear clave de acceso).

    2. Para guardar el contenido clave, descargue la clave de acceso secreta o elija Show (Mostrar) y, a continuación, cópiela de la página.

    3. Almacene la clave en una ubicación segura para proporcionarla al usuario.

    4. Elija Close (Cerrar).

  6. Actualice todas las aplicaciones que utilizaban la clave anterior para que utilicen la nueva clave.

  7. Para la clave anterior, seleccione Make inactive (Desactivar) para desactivar la clave de acceso. El usuario ahora no puede usar esa clave para realizar solicitudes.

  8. Confirme que todas las aplicaciones funcionan según lo previsto con la nueva clave.

  9. Después de confirmar que todas las aplicaciones funcionan con la nueva clave, elimine la clave anterior. Después de eliminar la clave de acceso, no podrá recuperarla.

    Para eliminar la clave anterior, elija la X al final de la fila y, a continuación, elija Delete (Eliminar).

[IAM.4] La clave de acceso del usuario raíz de IAM no debe existir

Categoría: Proteger - Administración de acceso seguro

Gravedad de gravedad Critical

Tipo de recurso: AWScuenta

Regla de AWS Config: iam-root-access-key-check

Tipo de programación: Periódico

Parámetros: Ninguno

Este control de comprueba si está presente la clave de acceso del usuario raíz.

El usuario raíz es el usuario con más privilegios en unAWSaccount.AWSLas claves de acceso de ofrecen acceso mediante programación a una cuenta determinada.

Security Hub recomienda quitar todas las claves de acceso asociadas al usuario raíz. Esto limita los vectores que se pueden utilizar para comprometer su cuenta. También fomenta la creación y el uso de cuentas basadas en roles, que tienen menos privilegios.

nota

Este control no es compatible en África (Ciudad del Cabo).

Corrección

Para eliminar la clave de acceso del usuario raíz, consulteEliminación de claves de acceso para el usuario raízen laIAM User Guide.

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

Categoría: Proteger - Administración de acceso seguro

Gravedad de gravedad Media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config: mfa-enabled-for-iam-console-access

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba siAWSLa autenticación multifactor (MFA) está habilitada para todos los usuarios de IAM que utilizan una contraseña de consola.

La autenticación multifactor (MFA) agrega una capa adicional de protección además del nombre de usuario y la contraseña. Si la MFA está habilitada, cuando un usuario inicia sesión en un sitio web de AWS, se le pide que indique su nombre de usuario y su contraseña. Además, se les solicita un código de autenticación desde su dispositivo MFA de AWS.

Recomendamos que habilite la MFA para todas las cuentas que tengan una contraseña de consola. MFA está diseñado para proporcionar una mayor seguridad para acceder a la consola. La entidad de autenticación debe poseer un dispositivo que emita una clave sujeta a limitación temporal y debe tener conocimiento de una credencial.

Corrección

Para añadir MFA para los usuarios de IAM, consulteUso de autenticación multifactor (MFA) enAWSen laIAM User Guide.

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

Categoría: Proteger - Administración de acceso seguro

Gravedad de gravedad Critical

Tipo de recurso: AWScuenta

Regla de AWS Config: root-account-hardware-mfa-enabled

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba si suAWSestá habilitada para usar un dispositivo de hardware Multi-Factor Authentication (MFA) para iniciar sesión con las credenciales de usuario raíz.

Una aplicación de MFA virtual podría no proporcionar el mismo nivel de seguridad que un dispositivo MFA físico. Recomendamos que utilice un dispositivo MFA virtual mientras espera la aprobación de compra de hardware o mientras espera a que llegue su hardware. Para obtener más información, consulteHabilitación de un dispositivo de autenticación multifactor (MFA) virtual (consola)en laIAM User Guide.

Tanto la contraseña de un solo uso basada en el tiempo (TOTP) como los tokens de segundo factor universal (U2F) son viables como opciones de MFA de hardware.

nota

Este control no se admite en las siguientes regiones:

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West).

Corrección

Para añadir un dispositivo MFA físico al usuario raíz, consulteHabilitar un dispositivo MFA físico paraAWSusuario raíz de la cuenta de (consola)en laIAM User Guide.

[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras

Categoría: Proteger - Administración de acceso seguro

Gravedad de gravedad Media

Tipo de recurso: AWScuenta

Regla de AWS Config: iam-password-policy

Tipo de programación: Periódico

Parámetros:

  • RequireUppercaseCharacters: true

  • RequireLowercaseCharacters: true

  • RequireSymbols: true

  • RequireNumbers: true

  • MinimumPasswordLength: 8

Este control comprueba si la política de contraseñas de cuenta para usuarios de IAM utiliza las configuraciones recomendadas.

Para obtener acceso aAWS Management Console, los usuarios de IAM necesitan contraseñas. Como práctica recomendada, Security Hub recomienda encarecidamente que, en lugar de crear usuarios de IAM, utilice la federación. Federation permite a los usuarios utilizar sus credenciales corporativas existentes para iniciar sesión en laAWS Management Console. UsarAWS IAM Identity Center (successor to AWS Single Sign-On)(Centro de identidades de IAM) para crear o federar el usuario y, a continuación, asumir una función de IAM en una cuenta.

Para obtener más información sobre los proveedores de identidad y la federación, consulteFederación y proveedores de identidadesen laIAM User Guide. Para obtener más información sobre IAM Identity Center, consulte laAWS IAM Identity Center (successor to AWS Single Sign-On)Guía del usuario de.

Si necesita utilizar usuarios de IAM, Security Hub recomienda forzar la creación de contraseñas de usuario seguras. Puede definir una política de contraseñas en suAWSpara especificar los requisitos de complejidad y periodos de rotación obligatorios de las contraseñas. Cuando crea o cambia una política de contraseñas, la mayoría de los ajustes de la política de contraseñas se aplican la siguiente vez que los usuarios cambien sus contraseñas. Algunos de los ajustes se aplican de forma inmediata.

Corrección

Para actualizar la política de contraseñas y utilizar la configuración recomendada, consulteConfiguración de una política de contraseñas de la cuenta para usuarios de IAMen laIAM User Guide.

[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas

Categoría: Proteger - Administración de acceso seguro

Gravedad de gravedad Media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config: iam-user-unused-credentials-check

Tipo de programación: Periódico

Parámetros:

  • maxCredentialUsageAge: 90

Este control comprueba si los usuarios de IAM tienen contraseñas o claves de acceso activas que no se han utilizado durante 90 días.

Los usuarios de IAM pueden accederAWSrecursos que usan diferentes tipos de credenciales, como, por ejemplo, contraseñas o claves de acceso.

Security Hub recomienda quitar o desactivar todas las credenciales que han dejado de utilizarse durante 90 días o más. Al deshabilitar o eliminar credenciales innecesarias se reduce la oportunidad de que se utilicen credenciales asociadas a una cuenta en peligro o abandonada.

Corrección

Para obtener parte de la información que necesita para monitorizar si las credenciales de las cuentas no se han usado en mucho tiempo, utilice la consola de IAM. Por ejemplo, cuando ve los usuarios de su cuenta, hay columnas para Access key age (Antigüedad de la clave de acceso), Password age (Antigüedad de la contraseña) y Last activity (Última actividad). Si el valor en cualquiera de estas columnas es superior a 90 días, desactive las credenciales de esos usuarios.

También puede utilizar los informes de credenciales para monitorizar las cuentas de los usuarios e identificar la que no tienen actividad durante 90 días o más. Puede descargar los informes de credenciales en.csvdesde la consola de IAM. Para obtener más información acerca de los informes de credenciales, consulteObtención de informes de credenciales para suAWScuentaen laIAM User Guide.

Después de identificar las cuentas inactivas o las credenciales no utilizadas, realice los siguientes pasos para deshabilitarlas.

Para deshabilitar las credenciales de las cuentas inactivas

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Users (Usuarios).

  3. Elija el nombre del usuario que tiene credenciales de más de 90 días de antigüedad.

  4. Elija Security Credentials (Credenciales de seguridad).

  5. Para cada credencial de inicio de sesión y clave de acceso que no se hayan utilizado en al menos 90 días, eligeMake Inactive.

[IAM.21] Las políticas administradas por el cliente de IAM que crees no deben permitir acciones comodín para los servicios

Categoría: Detectar - Administración de acceso seguro

Gravedad de gravedad Baja

Tipo de recurso: AWS::IAM::Policy

Regla de AWS Config: iam-policy-no-statements-with-full-access

Tipo de programación: Cambios activados

Parámetros:

  • excludePermissionBoundaryPolicy: True

Este control comprueba si las políticas basadas en identidad de IAM que se crean tienen instrucciones Allow que utilizan el comodín * para conceder permisos para todas las acciones de cualquier servicio. El control falla si alguna declaración de política incluye"Effect": "Allow"con"Action": "Service:*".

Por ejemplo, la siguiente declaración de una política genera un error en la búsqueda.

"Statement": [ { "Sid": "EC2-Wildcard", "Effect": "Allow", "Action": "ec2:*", "Resource": "*" }

El control también falla si usa"Effect": "Allow"con"NotAction": "service:*". En ese caso, el campoNotActionproporciona acceso a todas las acciones de unAWSservicio, excepto para las acciones especificadas enNotAction.

Este control solo se aplica a las políticas de IAM administradas por el cliente. No se aplica a las políticas de IAM administradas porAWS.

Al asignar permisos aAWS, es importante definir el alcance de las acciones de IAM permitidas en las políticas de IAM. Debe restringir las acciones de IAM solo a aquellas acciones que sean necesarias. Esto le ayuda a proporcionar los permisos con menos privilegios. Las políticas demasiado permisivas pueden dar lugar a una escalada de privilegios si las políticas se adjuntan a una entidad de IAM que podría no requerir el permiso.

En algunos casos, es posible que desee permitir acciones de IAM que tienen un prefijo similar, comoDescribeFlowLogsyDescribeAvailabilityZones. En estos casos autorizados, puede añadir un comodín con sufijo al prefijo común. Por ejemplo, ec2:Describe*.

Este control pasa si utiliza una acción de IAM con prefijo y un comodín con sufijo. Por ejemplo, la siguiente declaración de una política da como resultado una conclusión aprobada.

"Statement": [ { "Sid": "EC2-Wildcard", "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }

Al agrupar las acciones de IAM relacionadas de esta manera, también puede evitar superar los límites de tamaño de la política de IAM.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para solucionar este problema, actualice las políticas de IAM de modo que no permitan privilegios administrativos «*» completos. Para obtener más información acerca de cómo editar una política de IAM, consulteEdición de políticas de IAMen laIAM User Guide.

[Kinesis.1] Kinesis Data Streams debe cifrarse en reposo

Categoría: Proteger - Protección de datos en reposo

Gravedad de gravedad Media

Tipo de recurso: AWS::Kinesis::Stream

Regla de AWS Config: kinesis-stream-encrypted

Tipo de programación: Cambios activados

Parámetros: Ninguno

Este control comprueba si Kinesis Data Streams se cifra en reposo con cifrado en el servidor. Este control falla si una transmisión de Kinesis no se cifra en reposo con cifrado en el servidor.

El cifrado en el servidor es una característica de Amazon Kinesis Data Streams que cifra automáticamente los datos antes de que entren en reposo mediante unAWS KMS key. Los datos se cifran antes de transmitirlos a la capa de almacenamiento de la secuencia de Kinesis, y se descifran después de recuperarlos del almacenamiento. Como resultado, los datos se cifran en reposo en el servicio de Amazon Kinesis Data Streams.

nota

Este control no se admite en las siguientes regiones:

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para obtener información sobre la activación del cifrado del lado del servidor para transmisiones de Kinesis, consulte.¿Cómo puedo empezar a usar el cifrado en el servidor?en laGuía para desarrolladores de Amazon Kinesis.

[KMS.1] Las políticas administradas por el cliente de IAM no deben permitir acciones de descifrado y re-cifrado en todas las claves de KMS

Categoría: Proteger - Administración segura del acceso

Gravedad de gravedad Media

Tipo de recurso: AWS::IAM::Policy

Regla de AWS Config: iam-customer-policy-blocked-kms-actions

Tipo de programación: Cambios activados

Parámetros:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt

  • excludePermissionBoundaryPolicy: True

Comprueba si la versión predeterminada de las políticas administradas por el cliente de IAM permite a los principales utilizar laAWS KMSacciones de descifrado en todos los recursos de. Este control usaZelkova, un motor de razonamiento automatizado, para validar y advertirle sobre políticas que pueden conceder un amplio acceso a sus secretos enAWScuentas.

Este control falla y marca la política comoFAILED, si la política es lo suficientemente abierta como para permitirkms:Decryptokms:ReEncryptFromacciones en cualquier clave KMS arbitraria.

El control evalúa las políticas administradas por el cliente asociadas y no vinculadas. No comprueba las políticas en línea niAWSpolíticas administradas.

conAWS KMS, controla quién puede usar las claves de KMS y obtener acceso a sus datos cifrados. Las políticas de IAM definen qué acciones puede realizar una identidad (usuario, grupo o rol) en qué recursos. Siguiendo las prácticas de seguridad deAWSrecomienda que permita el menor privilegio. En otras palabras, debe conceder a las identidades solo lakms:Decryptokms:ReEncryptFrompermisos y solo para las claves que se requieren para realizar una tarea. De lo contrario, es posible que el usuario utilice claves que no sean apropiadas para sus datos.

En lugar de conceder permisos para todas las claves, determine el conjunto mínimo de claves que los usuarios necesitan para acceder a los datos cifrados. A continuación, diseñe políticas que permitan a los usuarios usar solo esas claves. Por ejemplo, no permitirkms:Decryptpermiso en todas las claves de KMS. En lugar de esto,kms:Decryptsolo en las llaves de una región en particular para tu cuenta. Al adoptar el principio de privilegio mínimo, puede reducir el riesgo de divulgación involuntaria de sus datos.

Corrección

Para solucionar este problema, modifique las políticas administradas por el cliente de IAM para restringir el acceso a las claves.

Para modificar una política administrada por el cliente de IAM

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de IAM, elijaPolíticas.

  3. Elija la flecha situada al lado de la política que desea modificar.

  4. Elija Edit policy (Editar política).

  5. Seleccione la pestaña JSON.

  6. Cambie la“Resource”a la clave o claves específicas que quiera permitir.

  7. Después de modificar la política, elijaReview policy.

  8. Elija Save changes (Guardar cambios).

Para obtener más información, consulteUso de políticas de IAM conAWS KMSen laAWS Key Management ServiceGuía para desarrolladores.

[KMS.2] Los principales de IAM no deben tener políticas en línea de IAM que permitan acciones de descifrado y re-cifrado en todas las claves de KMS

Categoría: Proteger - Administración segura del acceso

Gravedad de gravedad Media

Tipo de recurso:

  • AWS::IAM::Role

  • AWS::IAM::User

  • AWS::IAM::Group

Regla de AWS Config: iam-inline-policy-blocked-kms-actions

Tipo de programación: Cambios activados

Parámetros:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt

Comprueba si las políticas insertadas que están integradas en sus identidades de IAM (rol, usuario o grupo) permitenAWS KMSacciones de descifrado y re-cifrado en todas las claves de KMS. Este control usaZelkova, un motor de razonamiento automatizado, para validar y advertirle sobre políticas que pueden conceder un amplio acceso a sus secretos enAWScuentas.

Este control falla si la política está lo suficientemente abierta como para permitirkms:Decryptokms:ReEncryptFromacciones en cualquier clave KMS arbitraria.

conAWS KMS, controla quién puede usar las claves de KMS y obtener acceso a sus datos cifrados. Las políticas de IAM definen qué acciones puede realizar una identidad (usuario, grupo o rol) en qué recursos. Siguiendo las prácticas de seguridad deAWSrecomienda que permita el menor privilegio. En otras palabras, debe conceder a las identidades solo los permisos que necesitan y solo las claves necesarias para realizar una tarea. De lo contrario, es posible que el usuario utilice claves que no sean apropiadas para sus datos.

En lugar de conceder permiso para todas las claves, determine el conjunto mínimo de claves que los usuarios necesitan para acceder a los datos cifrados. A continuación, diseñe políticas que permitan a los usuarios usar solo esas claves. Por ejemplo, no permitirkms:Decryptpermiso en todas las claves de KMS. En cambio, permite el permiso solo en claves específicas de una región específica de tu cuenta. Al adoptar el principio de privilegio mínimo, puede reducir el riesgo de divulgación involuntaria de sus datos.

Corrección

Para solucionar este problema, modifique la política insertada para restringir el acceso a las claves.

Para modificar una política insertada de IAM

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de IAM, elijaUsuarios de,Groups, o bienRoles de.

  3. Seleccione el nombre del usuario, grupo o rol para el que modificar las políticas en línea de IAM.

  4. Elija la flecha situada junto a la política que desee modificar.

  5. Elija Edit policy (Editar política).

  6. Seleccione la pestaña JSON.

  7. Cambie la"Resource"valor de las claves específicas que desea permitir.

  8. Después de modificar la política, elijaReview policy.

  9. Elija Save changes (Guardar cambios).

Para obtener más información, consulteUso de políticas de IAM conAWS KMSen laAWS Key Management ServiceGuía para desarrolladores.

[KMS.3]AWS KMSlas claves no se deben eliminar involuntariamente

Categoría: Proteger - Protección de datos - Protección contra eliminación de datos

Gravedad de gravedad Critical

Tipo de recurso: AWS::KMS::Key

Regla de AWS Config: kms-cmk-not-scheduled-for-deletion

Tipo de programación: Periódico

Parámetros: Ninguno

Este control comprueba si las claves de KMS están programadas para su eliminación. El control falla si se programa la eliminación de una clave de KMS.

Las claves KMS no pueden recuperarse una vez eliminadas. Los datos cifrados con una clave de KMS también son irrecuperables de forma permanente si se elimina la clave de KMS. Si los datos significativos se cifraron con una clave de KMS programada para su eliminación, considere la posibilidad de descifrar los datos o volver a cifrar los datos con una nueva clave de KMS, a menos que esté realizando intencionadamente unaborrado criptográfico.

Cuando se programa la eliminación de una clave de KMS, se impone un período de espera obligatorio para dar tiempo a anular la eliminación, si se programó por error. El período de espera predeterminado es de 30 días, pero se puede reducir a tan solo 7 días cuando se programa la eliminación de la clave de KMS. Durante el período de espera, la eliminación programada se puede cancelar y la clave KMS no se elimina.

Para obtener información adicional acerca de cómo eliminar claves KMS, consulteEliminación de claves KMSen laAWS Key Management ServiceGuía para desarrolladores.

nota

Este control no se admite en las regiones Asia-Pacífico (Osaka) y Europa (Milán).

Corrección

Para obtener instrucciones de corrección detalladas para cancelar una eliminación de clave de KMS programada, consultePara cancelar la eliminación de clavesUNDERProgramación y cancelación de eliminación de claves (consola)en laAWS Key Management ServiceGuía para desarrolladores de .

[Lambda.1] Las políticas de funciones de Lambda deberían prohibir el acceso público

Categoría: Proteger - Configuración de red segura

Gravedad de gravedad Critical

Tipo de recurso: AWS::Lambda::Function

Regla de AWS Config: lambda-function-public-access-prohibited

Tipo de programación: Cambios activados

Parámetros: Ninguno

Este control comprueba si la política basada en recursos de la función de Lambda de prohíbe el acceso público a la cuenta.

El control también falla si se invoca una función de Lambda desde Amazon S3 y la política no incluye una condición paraAWS:SourceAccount.

La función de Lambda no debe ser accesible públicamente, ya que puede permitir el acceso involuntario al código que tenga almacenado en la función.

nota

Este control no se admite en las regiones de China (Pekín) o China (Ningxia).

Corrección

Si una función de Lambda no supera este control, indica que la declaración de política basada en recursos para la función de Lambda permite el acceso público.

Para solucionar el problema, debe actualizar la política para eliminar los permisos o agregar elAWS:SourceAccountConsola de: Solo puede actualizar la política basada en recursos desde la API de Lambda.

En las siguientes instrucciones, se usa la consola para revisar la política y laAWS Command Line Interfacepara eliminar los permisos.

Ver la política basada en recursos de una función de Lambda

  1. Abra la consola de AWS Lambda en https://console.aws.amazon.com/lambda/.

  2. Seleccione Functions (Funciones) en el panel de navegación.

  3. Elija la función.

  4. Elija Permissions (Permisos). La política basada en recursos muestra los permisos que se aplican cuando otra cuenta o servicio de AWS intenta acceder a la función.

  5. Examinar la política basada en recursos. Identifique la declaración de política que tienePrincipalvalores de campo que hacen pública la política. Por ejemplo, permitir"*"o{ "AWS": "*" }.

    La política de no se puede editar desde la consola. Para eliminar permisos de la función, utilice elremove-permissiondesde laAWS CLI.

    Anote el valor del ID de estado de cuenta (Sid) de la declaración que desee quitar.

Para utilizar elAWS CLIpara eliminar los permisos de una función de Lambda, ejecute el comandoremove-permissioncomando.

$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>

Reemplazar<function-name>con el nombre de la función Lambda y<statement-id>con el ID de instrucción de la instrucción que se va a eliminar.

Para verificar que se actualizan los permisos

  1. Abra la consola de AWS Lambda en https://console.aws.amazon.com/lambda/.

  2. Seleccione Functions (Funciones) en el panel de navegación.

  3. Elija la función que ha actualizado.

  4. Elija Permissions (Permisos).

    La política basada en recursos debe actualizarse. Si solo había una declaración en la política, la política está vacía.

Para obtener más información, consulteUso de políticas basadas en recursos paraAWS Lambdaen laAWS LambdaGuía para desarrolladores.

[Lambda.2] Las funciones de Lambda deben usar tiempos de ejecución compatibles

Categoría: Proteger - Desarrollo seguro

Gravedad de gravedad Media

Tipo de recurso: AWS::Lambda::Function

Regla de AWS Config: lambda-function-settings-check

Tipo de programación: Cambios activados

Parámetros:

  • runtime: nodejs16.x, nodejs14.x, nodejs12.x, python3.9, python3.8, python3.7, ruby2.7, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnet6

Este control comprueba que la configuración de la función de Lambda para los tiempos de ejecución coincida con los valores esperados establecidos para los tiempos de ejecución admitidos para cada lenguaje. Este control comprueba la configuración de las funciones para los siguientes tiempos de ejecución:nodejs16.x,nodejs14.x,nodejs12.x,python3.9,python3.8,python3.7,ruby2.7,java11,java8,java8.al2,go1.x,dotnetcore3.1, ydotnet6.

LaAWS Configregla ignora las funciones que tienen un tipo de paquete deImage.

Tiempos de ejecución de Lambdase crean en torno a una combinación de sistema operativo, lenguaje de programación y bibliotecas de software que están sujetos a operaciones de mantenimiento y actualizaciones de seguridad. Cuando un componente de un tiempo de ejecución deja de recibir actualizaciones de seguridad, Lambda descarta el tiempo de ejecución. Aunque no puede crear funciones que utilicen el tiempo de ejecución obsoleto, la función sigue estando disponible para procesar eventos de invocación. Compruebe que las funciones de Lambda de sean actuales y que no utilicen out-of-date entornos de ejecución.

Para obtener más información sobre los tiempos de ejecución admitidos que este control comprueba para los lenguajes admitidos, consulteAWS LambdaTiempos de ejecución de .en laAWS LambdaGuía para desarrolladores.

nota

Este control no se admite en las regiones de China (Pekín) o China (Ningxia).

Corrección

Para obtener más información sobre los tiempos de ejecución admitidos y los programas de obsolescencia, consulte laPolítica de soporte del tiempo de ejecuciónSección sobre de laAWS LambdaGuía para desarrolladores. Cuando migre los tiempos de ejecución a la versión más reciente, siga la sintaxis y las instrucciones de los editores del lenguaje.

[Lambda.4] Las funciones de Lambda deben tener configurada una cola de mensajes no entregados (Retirada)

Se retira este control.

[Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad de gravedad Media

Tipo de recurso: AWS::Lambda::Function

Regla de AWS Config: lambda-vpc-multi-az-check

Tipo de programación: Cambios activados

Parámetros: Ninguno

Este control comprueba si Lambda tiene más de una zona de disponibilidad asociada. La regla falla si solo hay una zona de disponibilidad asociada a Lambda.

La implementación de recursos en varias zonas de disponibilidad es unaAWSmejores prácticas para garantizar una alta disponibilidad dentro de su arquitectura. La disponibilidad es un pilar fundamental en el modelo de seguridad tríada de confidencialidad, integridad y disponibilidad. Todas las funciones de Lambda deben tener una implementación de zona de disponibilidad múltiple para garantizar que una sola zona de falla no cause una interrupción total de las operaciones.

Corrección

Para implementar una función Lambda en varias zonas de disponibilidad mediante la consola:

  1. Abra el iconoAWS LambdaConsola de:https://console.aws.amazon.com/lambda/

  2. De lasFuncionesde la consola de Lambda elija una función.

  3. Elija Configuración y, a continuación, elija VPC.

  4. Elija Edit (Editar).

  5. Si la función no estaba conectada originalmente a una VPC, seleccione una VPC en el menú desplegable. Si la función no estaba conectada originalmente a una VPC, elija al menos un grupo de seguridad para adjuntarlo a la función

    nota

    El rol de ejecución de la función de debe tener permisos para llamarCreateNetworkInterfaceen EC2.

  6. Seleccione Save (Guardar).

[Network Firewall red.3] Las directivas del Network Firewall deben tener al menos un grupo de reglas asociado

Categoría: Proteger - Configuración de red segura

Gravedad de gravedad Media

Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy

Regla de AWS Config: netfw-policy-rule-group-associated

Tipo de programación: Cambios activados

Parámetros: Ninguno

Este control comprueba si una directiva de Network Firewall tiene algún grupo de reglas con estado o sin estado asociado. El control falla si no se asignan grupos de reglas sin estado o con estado.

Las políticas de firewall definen cómo el cortafuegos supervisa y gestiona el tráfico en Amazon Virtual Private Cloud (Amazon VPC). La configuración de grupos de reglas sin estado y con estado ayuda a filtrar los paquetes y los flujos de tráfico, y define el manejo predeterminado del tráfico.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para agregar un grupo de reglas a una directiva de Network Firewall, consulteActualización de una política de firewallen laAWS Network FirewallGuía para desarrolladores. Para obtener información sobre cómo se crean y se administran grupos de reglas, consulteGrupos de reglas deAWS Network Firewall.

[NetworkFirewall.4] La acción sin estado predeterminada para las directivas del Network Firewall debe ser omitir o reenviar paquetes completos

Categoría: Proteger - Configuración de red segura

Gravedad de gravedad Media

Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy

Regla de AWS Config: netfw-policy-default-action-full-packets

Tipo de programación: Cambios activados

Parámetros:

  • statelessDefaultActions: aws:drop,aws:forward_to_sfe

Este control comprueba si la acción sin estado predeterminada para los paquetes completos de una directiva de Network Firewall es anular o reenviar. El control pasa siDropoForwardestá seleccionada y falla siPassestá seleccionado.

Una política de cortafuegos define cómo el cortafuegos supervisa y gestiona el tráfico en Amazon VPC. Configure grupos de reglas sin estado y con estado para filtrar paquetes y flujos de tráfico. Por defecto dePasspuede permitir el tráfico no intencionado.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Para cambiar la política del cortafuegos:

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, en, enNetwork Firewall, eligePolíticas de firewall.

  3. Seleccione el nombre de la política del cortafuegos que desea editar. Esto le lleva a la página de detalles de la política del cortafuegos.

  4. EnAcciones por defecto sin estado, eligeEditar. Luego eligeGotaoReenviar a grupos de reglas con estadocomo elAcciones predeterminadas para paquetes completos.

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser omitir o reenviar paquetes fragmentados

Categoría: Proteger - Configuración de red segura

Gravedad de gravedad Media

Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy

Regla de AWS Config: netfw-policy-default-action-fragment-packets

Tipo de programación: Cambios activados

Parámetros:

  • statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe

Este control comprueba si la acción sin estado predeterminada para los paquetes fragmentados de una directiva de Network Firewall es anular o reenviar. El control pasa siDropoForwardestá seleccionada y falla siPassestá seleccionado.

Una política de cortafuegos define cómo el cortafuegos supervisa y gestiona el tráfico en Amazon VPC. Configure grupos de reglas sin estado y con estado para filtrar paquetes y flujos de tráfico. Por defecto dePasspuede permitir el tráfico no intencionado.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Para cambiar la política del cortafuegos:

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, en, enNetwork Firewall, eligePolíticas de firewall.

  3. Seleccione el nombre de la política del cortafuegos que desea editar. Esto le lleva a la página de detalles de la política del cortafuegos.

  4. EnAcciones por defecto sin estado, eligeEditar. Luego eligeGotaoReenviar a grupos de reglas con estadocomo elAcciones predeterminadas para paquetes fragmentados.

[NetworkFirewall.6] Los grupos de reglas de Network Firewall sin estado no deben estar vacíos

Categoría: Proteger - Configuración de red segura

Gravedad de gravedad Media

Tipo de recurso: AWS::NetworkFirewall::RuleGroup

Regla de AWS Config: netfw-stateless-rule-group-not-empty

Tipo de programación: Cambios activados

Parámetros: Ninguno

Este control comprueba si un grupo de reglas sin estado enAWS Network Firewallcontiene reglas. La regla fallará si no hay reglas en el grupo de reglas.

Un grupo de reglas contiene reglas que definen cómo el cortafuegos procesa el tráfico en la VPC. Un grupo de reglas sin estado vacío, cuando está presente en una política de firewall, puede dar la impresión de que el grupo de reglas procesará el tráfico. Sin embargo, cuando el grupo de reglas sin estado está vacío, no procesa el tráfico.

Corrección

Para añadir reglas a un grupo de reglas de Network Firewall:

  1. Inicie sesión en laAWSManagement Console y abra la consola de Amazon VPC enhttps://console.aws.amazon.com/vpc/

  2. En el panel de navegación, en, enNetwork Firewall, eligeGrupos de reglas de Network Firewall.

  3. En el navegadorGrupos de reglas de Network Firewall, elija el nombre del grupo de reglas que desea editar. Esto le lleva a la página de detalles de grupos de reglas de firewall.

  4. Para los grupos de reglas sin estado, elijaEditar reglaspara añadir reglas al grupo de reglas.

[OpenSearch.1] OpenSearch los dominios de deben tener habilitado el cifrado en reposo

Categoría: Proteger - Protección de datos en reposo

Gravedad de gravedad Media

Tipo de recurso: AWS::OpenSearch::Domain

Regla de AWS Config: opensearch-encrypted-at-rest

Tipo de programación: Cambios activados

Parámetros: Ninguno

Este control comprueba si OpenSearch los dominios tienen encryption-at-rest configuración habilitada. La comprobación falla si el cifrado en reposo no está habilitado.

Para obtener una capa adicional de seguridad para la información confidencial, debe configurar su OpenSearch El dominio de servicio se cifrará en reposo. Al configurar el cifrado de datos en reposo,AWS KMSalmacena y administra las claves de cifrado. Para realizar el cifrado,AWS KMSutiliza el algoritmo Estándar de cifrado avanzado con claves de 256 bits (AES-256).

Para obtener más información OpenSearch Cifrado de servicio en reposo, consulteCifrado de datos en reposo para Amazon OpenSearch Service (Servicio)en laAmazon OpenSearch Service (Servicio) Guía para desarrolladores.

Corrección

De forma predeterminada, los dominios no cifran los datos en reposo y no puede configurar los dominios existentes para que utilicen la característica. Para habilitar esta característica, debe crear otro dominio y migrar sus datos.

Para obtener información sobre la creación de dominios, consulte.Crear y administrar Amazon OpenSearch Dominios de servicioen Amazon OpenSearch Guía para desarrolladores de servicios.

El cifrado de datos en reposo requiere Amazon OpenSearch 1.0 o posterior. Para obtener más información sobre el cifrado de datos en reposo para Amazon OpenSearch, consulteCifrado de datos en reposo para Amazon OpenSearch Service (Servicio)en laAmazon OpenSearch Guía para desarrolladores de servicios.

[OpenSearch.5] OpenSearch Los dominios de deberían estar en una VPC

Categoría: Proteger - Configuración de red segura > Recursos dentro de la VPC

Gravedad de gravedad Critical

Tipo de recurso: AWS::OpenSearch::Domain

Regla de AWS Config: opensearch-in-vpc-only

Tipo de programación: Cambios activados

Parámetros: Ninguno

Este control comprueba si OpenSearch los dominios de la están en una VPC. No evalúa la configuración de direccionamiento de subred de VPC para determinar el acceso público.

Debe asegurarse de que OpenSearch los dominios de no están asociados a subredes públicas. ConsultePolíticas basadas en recursosen Amazon OpenSearch Guía para desarrolladores de servicios. También debe asegurarse de que la VPC esté configurada de acuerdo con las prácticas recomendadas. ConsultePrácticas recomendadas de seguridad de la VPCen la Guía del usuario de Amazon VPC.

OpenSearch los dominios implementados dentro de una VPC pueden comunicarse con los recursos de la VPC a través deAWSred, sin necesidad de atravesar la Internet pública. Esta configuración aumenta la postura de seguridad al limitar el acceso a los datos en tránsito. Las VPC proporcionan una serie de controles de red para proteger el acceso a OpenSearch dominios, incluidas las ACL de red y los grupos de seguridad. Security Hub recomienda que migre OpenSearch dominios a las VPC para aprovechar estos controles.

Corrección

Si crea un dominio con un punto de enlace público, no podrá colocarlo posteriormente en una VPC. En lugar de ello, se debe crear un dominio nuevo y migrar los datos. y viceversa. Si crea un dominio dentro de una VPC, no puede tener un punto de enlace público.

En su lugar, debe crear otro dominio o deshabilitar este control.

ConsulteLanzar tu Amazon OpenSearch Servicios públicos dentro de una VPCen Amazon OpenSearch Guía para desarrolladores de servicios.

[OpenSearch.5] OpenSearch los dominios deben cifrar los datos enviados entre nodos

Categoría: Proteger - Protección de datos en tránsito

Gravedad de gravedad Media

Tipo de recurso: AWS::OpenSearch::Domain

Regla de AWS Config: opensearch-node-to-node-encryption-check

Tipo de programación: Cambios activados

Parámetros: Ninguno

Este control comprueba si OpenSearch los dominios tienen node-to-node cifrado habilitado. Este control falla si node-to-node el cifrado está deshabilitado en el dominio.

HTTPS (TLS) se puede utilizar para ayudarle a evitar posibles ataques de acceso no autorizado o de manipulación del tráfico de red mediante person-in-the-middle o ataques similares. Solo deben permitirse conexiones cifradas sobre HTTPS (TLS). Habilitación node-to-node Cifrado para OpenSearch garantiza que las comunicaciones dentro del clúster se cifren en tránsito.

Puede haber una penalización de rendimiento asociada a esta configuración. Debe conocer y probar la compensación de rendimiento antes de habilitar esta opción.

Corrección

Node-to-node el cifrado solo se puede habilitar en un dominio nuevo. Para corregir este hallazgo, cree un nuevo dominio conNode-to-node criptografíahabilita y migra tus datos al nuevo dominio. Siga las instrucciones paracrear un nuevo dominioen Amazon OpenSearch Service Developer Guide y asegúrese de seleccionar la opciónNode-to-node criptografíaal crear el nuevo dominio. A continuación, sigaUso de una instantánea para migrar datospara migrar los datos al nuevo dominio.

[OpenSearch.5] OpenSearch error de dominio al iniciar sesión en CloudWatch Los registros deben estar habilitados

Categoría: Identificar - Registro

Gravedad de gravedad Media

Tipo de recurso: AWS::OpenSearch::Domain

Regla de AWS Config: opensearch-logs-to-cloudwatch

Tipo de programación: Cambios activados

Parámetros:

  • logtype = 'error'

Este control comprueba si OpenSearch los dominios de están configurados para enviar registros de errores a CloudWatch Registros. Este control falla si se registra un error en CloudWatch no está habilitado para un dominio.

Debe habilitar los registros de errores para OpenSearch dominios y enviar esos registros a CloudWatch Registros de retención y respuesta. Los registros de errores de dominio pueden ayudar con las auditorías de seguridad y acceso, y pueden ayudar a diagnosticar problemas de disponibilidad.

Corrección

Para obtener información sobre cómo habilitar la publicación de registros, consulteHabilitación de la publicación de registros (consola)en Amazon OpenSearch Guía para desarrolladores de servicios.

[OpenSearch.5] OpenSearch los dominios deben tener habilitado el registro de auditoría

Categoría: Identificar - Registro

Gravedad de gravedad Media

Tipo de recurso: AWS::OpenSearch::Domain

Regla de AWS Config: opensearch-audit-logging-enabled

Tipo de programación: Cambios activados

Parámetros:

  • cloudWatchLogsLogGroupArnList (Opcional). Security Hub no rellena este parámetro. Lista separada por comas de CloudWatch Registra los grupos de registros que se deben configurar para los registros de auditoría.

Esta regla esNON_COMPLIANTsi el CloudWatch Registra el grupo de registros del OpenSearchdomain no está especificado en esta lista de parámetros.

Este control comprueba si OpenSearch los dominios tienen habilitado el registro de auditoría. Este control falla si un OpenSearch el dominio no tiene habilitado el registro de auditoría.

Los registros de auditoría son muy personalizables. Le permiten realizar un seguimiento de la actividad de los usuarios en suOpenSearch clústeres, incluidos los éxitos y los errores de autenticación, las solicitudes aOpenSearch, cambios en el índice y consultas de búsqueda entrantes.

Corrección

Para obtener instrucciones detalladas sobre cómo habilitar los registros de auditoría, consulteHabilitación de los registros de auditoríaen Amazon OpenSearch Guía para desarrolladores de servicios.

[OpenSearch.5] OpenSearch los dominios de deben tener tres nodos de datos como mínimo

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad de gravedad Media

Tipo de recurso AWS::OpenSearch::Domain

Regla de AWS Config: opensearch-data-node-fault-tolerance

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si OpenSearch los dominios están configurados con al menos tres nodos de datos yzoneAwarenessEnabledestrue. Este control falla durante un OpenSearch dominio siinstanceCountes inferior a 3 ozoneAwarenessEnabledesfalse.

Un OpenSearch requiere al menos tres nodos de datos para lograr una alta disponibilidad y tolerancia a fallas. Implementación de OpenSearch con al menos tres nodos de datos garantiza las operaciones del clúster si un nodo falla.

Corrección

Para modificar el número de nodos de datos en un OpenSearch dominio

  1. Inicie sesión en laAWSconsola y abre Amazon OpenSearch Consola de servicio enhttps://console.aws.amazon.com/es/.

  2. UNDERMy AMIs (, elija el nombre del dominio que desea editar y elijaEditar.

  3. UNDERNodos de datossetCantidad de nodosa un número superior a3. Si va a implementar en tres zonas de disponibilidad, establezca el número en un múltiplo de tres para garantizar una distribución equitativa en todas las zonas de disponibilidad.

  4. Elija Submit (Enviar).

[OpenSearch.7] OpenSearch Los dominios deben tener Control de acceso detallado habilitado

Categoría: Proteger > Administración de acceso seguro > Acciones de API sensibles restringidas

Gravedad de gravedad Alta

Tipo de recurso AWS::OpenSearch::Domain

Regla de AWS Config: opensearch-access-control-enabled

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si OpenSearch Los dominios tienen habilitado el control de acceso detallado. El control falla si el control de acceso detallado no está habilitado. El control de acceso detallado requiereadvanced-security-optionsen la OpenSearch parámetroupdate-domain-configpara que se Tipo de recurso.

El control de acceso detallado ofrece formas adicionales de controlar el acceso a los datos en Amazon OpenSearch Servicio

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Yakarta)

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • Europa (Milán)

  • AWS GovCloud (EE. Este)

  • AWS GovCloud (EE. Este)

Corrección

Para habilitar el control de acceso preciso, consulteControl de acceso detallado en Amazon OpenSearch Service (Servicio)en laAmazon OpenSearch Guía para desarrolladores de servicios.

[OpenSearch.8] Conexiones a OpenSearch Los dominios se deben cifrar mediante TLS 1.2

Categoría: Proteger - Cifrado de data-in-transit

Gravedad: Media

Tipo de recurso AWS::OpenSearch::Domain

Regla de AWS Config: opensearch-https-required

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si hay conexiones a OpenSearch se requieren dominios para usar TLS 1.2. La comprobación falla si OpenSearch dominioTLSSecurityPolicyno esPolicy-Min-TLS-1-2-2019-07.

HTTPS (TLS) se puede usar para ayudar a evitar que los posibles atacantes usen person-in-the-middle o ataques similares para espiar o manipular el tráfico de la red. Solo deben permitirse conexiones cifradas sobre HTTPS (TLS). El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta función para comprender el perfil de rendimiento y el impacto de TLS. TLS 1.2 proporciona varias mejoras de seguridad con respecto a las versiones anteriores de TLS.

Corrección

Para habilitar el cifrado TLS, utilice laUpdateDomainConfigOperación de la API para configurarDomainEndpointOptionspara configurar elTLSSecurityPolicy. Para obtener más información, consulteNode-to-node criptografíaen Amazon OpenSearch Guía para desarrolladores de servicios.

[RDS.1] Las instantáneas de RDS deben ser privadas

Categoría: Proteger - Configuración de red segura

Gravedad: Critical

Tipo de recurso AWS::RDS::DBSnapshot,AWS::RDS::DBClusterSnapshot

Regla de AWS Config: rds-snapshots-public-prohibited

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control de comprueba si las instantáneas de Amazon RDS son públicas. El control falla si las instantáneas de RDS son públicas. Este control evalúa las instancias de RDS, las instancias de base de datos de base de datos de Neptune y los clústeres de Amazon DocumentDB.

Las instantáneas de RDS se utilizan para realizar copias de seguridad de los datos de las instancias de RDS en un momento determinado. Se pueden utilizar para restaurar estados anteriores de instancias de RDS.

Una instantánea de RDS no debe ser pública a menos que se quiera. Si comparte una instantánea manual sin cifrar como pública, estará disponible para todosAWScuentas. Esto puede provocar una exposición no intencionada de los datos de su instancia de RDS.

Tenga en cuenta que si se cambia la configuración para permitir el acceso público, es posible que la regla de AWS Config no pueda detectar el cambio durante un máximo de 12 horas. Hasta que la regla de AWS Config detecte el cambio, la comprobación se superará aunque la configuración infrinja la regla.

Para obtener más información sobre cómo compartir una instantánea de base de datos, consulteCompartir una instantánea de base de datosen laGuía del usuario de Amazon RDS.

nota

Este control no se admite en África (Ciudad del Cabo) o Europa (Milán).

Corrección

Para solucionar este problema, actualice las instantáneas de RDS para eliminar el acceso público.

Para eliminar el acceso público de las instantáneas de RDS

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. Acceda a Snapshots (Instantáneas) y, a continuación, elija la instantánea pública que desea modificar.

  3. En Actions (Acciones), elija Share Snapshots (Compartir instantáneas).

  4. En DB snapshot visibility (Visibilidad de las instantáneas de base de datos), elija Private (Privada).

  5. En DB snapshot visibility (Visibilidad de las instantáneas de base de datos), elija all (todo).

  6. Seleccione Save (Guardar).

[RDS.2] Las instancias de base de datos de Amazon RDS deben prohibir el acceso público, en función de la PubliclyAccessible configuración

Categoría: Proteger - Configuración de red segura

Gravedad: Critical

Tipo de recurso AWS::RDS::DBInstance

Regla de AWS Config: rds-instance-public-access-check

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si las instancias de Amazon RDS son accesibles públicamente mediante la evaluación dePubliclyAccessibleen el elemento de configuración de la instancia.

Las instancias de base de datos de Neptune y los clústeres de Amazon DocumentDB no tienenPubliclyAccessibley no se puede evaluar. Sin embargo, este control aún puede generar hallazgos para estos recursos. Puede suprimir estos hallazgos.

El valor PubliclyAccessible de la configuración de la instancia de RDS indica si la instancia de base de datos es accesible públicamente. Si la instancia de base de datos se ha configurado con PubliclyAccessible, se trata de una instancia orientada a Internet con un nombre DNS que se puede resolver públicamente y que se resuelve en una dirección IP pública. Cuando la instancia de base de datos no es accesible públicamente, se trata de una instancia interna con un nombre DNS que se resuelve en una dirección IP privada.

A menos que tenga la intención de dar acceso público a su instancia de RDS, la instancia de RDS no debe configurarse conPubliclyAccessibleValor . Si lo hace, podría permitir tráfico innecesario a la instancia de base de datos.

Corrección

Para solucionar este problema, actualice las instancias de base de datos de RDS para eliminar el acceso público.

Para quitar el acceso público de las instancias de base de datos de RDS

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. Acceda a Databases (Bases de datos) y, a continuación, elija su base de datos pública.

  3. Elija Modify (Modificar).

  4. UNDERConectividad, seleccionar seleccionar seleccionarConfiguración de conectividad adicional.

  5. UNDERAcceso público, eligeNo a acceso público.

  6. Elija Continue (Continuar).

  7. UNDERProgramación de las modificaciones modificaciones, eligeApply immediately (Aplicar inmediatamente).

  8. Elija Modify DB Instance.

Para obtener más información, consulteUso de una instancia de base de datos en una VPCen laGuía del usuario de Amazon RDS.

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

Categoría: Proteger - Protección de datos en reposo

Gravedad: Media

Tipo de recurso AWS::RDS::DBInstance

Regla de AWS Config: rds-storage-encrypted

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si el cifrado de almacenamiento está habilitado para las instancias de base de datos de Amazon RDS.

Este control está diseñado para instancias de base de datos de RDS. Sin embargo, también puede generar hallazgos para instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos hallazgos no son útiles, puede suprimirlos.

Para obtener una capa adicional de seguridad para la información confidencial en las instancias de base de datos de RDS, debe configurar las instancias de base de datos de RDS de tal manera que se cifren en reposo. Para cifrar las instancias de base de datos de RDS y las instantáneas en reposo, debe habilitar la opción de cifrado para las instancias de base de datos de RDS. Los datos cifrados en reposo incluyen el almacenamiento subyacente de una instancia de base de datos, sus copias de seguridad automatizadas, sus réplicas de lectura y sus instantáneas.

En las instancias de base de datos cifradas de RDS se utiliza el algoritmo de cifrado AES-256 de código estándar para cifrar los datos en el servidor que aloja la instancia de base de datos de RDS. Una vez cifrados los datos, Amazon RDS se encarga de la autenticación de acceso y del descifrado de los datos de forma transparente, con un impacto mínimo en el desempeño. No es necesario modificar las aplicaciones cliente de base de datos para utilizar el cifrado.

Actualmente, el cifrado de Amazon RDS; están disponibles para todos los motores de bases de datos y tipos El cifrado de Amazon RDS está disponible para la mayoría de las clases de instancias de bases de datos. Para obtener información acerca de las clases de instancia de base de datos que no admiten el cifrado de Amazon RDSCifrado de recursos de Amazon RDSen laGuía del usuario de Amazon RDS.

Corrección

Para obtener información sobre el cifrado de instancias de base de datos en Amazon RDS, consulteCifrado de recursos de Amazon RDSen laGuía del usuario de Amazon RDS.

[RDS.4] Las instantáneas del clúster RDS y las instantáneas de la base de datos deben cifrarse en reposo

Categoría: Proteger - Protección de datos en reposo

Gravedad: Media

Tipo de recurso AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot

Regla de AWS Config: rds-snapshots-encrypted

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si las instantáneas de base de datos de RDS están cifradas.

Este control está diseñado para instancias de base de datos de RDS. Sin embargo, también puede generar hallazgos para instantáneas de las instancias de base de datos de Aurora, las instancias de base de datos de Neptune y los clústeres de Amazon DocumentDB. Si estos hallazgos no son útiles, puede suprimirlos.

El cifrado de datos en reposo reduce el riesgo de que un usuario no autenticado obtenga acceso a los datos que están almacenados en el disco. Los datos de las instantáneas de RDS deben cifrarse en reposo para obtener una capa adicional de seguridad.

Corrección

Puede usar la consola de Amazon RDS para solucionar este problema.

Para cifrar una instantánea de RDS sin cifrar

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, elija Snapshots (Instantáneas).

  3. Busque la instantánea en la que desea cifrarManualoSistema.

  4. Active la casilla situada junto a la instantánea que desee cifrar.

  5. ElegirActionsy, después, elijaCopia de instantáneas.

  6. UNDERIdentificador nuevo de instantáneas de base, escriba el nombre de la instantánea nueva.

  7. UNDERCriptografíaseleccionar seleccionar seleccionar seleccionarEnable Encryption.

  8. Elija la clave de KMS que quiera usar para cifrar la instantánea.

  9. Elija Copy Snapshot.

  10. Una vez creada la nueva instantánea, elimine la instantánea original.

  11. ParaBackup Retention Period, seleccione un valor positivo distinto de cero. Por ejemplo, 30 días.

[RDS.5] Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: Media

Tipo de recurso AWS::RDS::DBInstance

Regla de AWS Config: rds-multi-az-support

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si la alta disponibilidad está habilitada para sus instancias de base de datos de RDS.

Las instancias de base de datos de RDS deben configurarse para varias zonas de disponibilidad (AZ). Esto garantiza la disponibilidad de los datos almacenados. Las implementaciones Multi-AZ permiten la conmutación por error automática si hay un problema con la disponibilidad de la zona de disponibilidad y durante el mantenimiento regular de RDS.

Corrección

Para solucionar este problema, actualice las instancias de base de datos de para habilitar varias zonas de disponibilidad.

Para habilitar varias zonas de disponibilidad para una instancia de base de datos

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, elija Databases (Bases de datos) y, a continuación, seleccione la instancia de base de datos que desee modificar.

  3. Elija Modify. Aparece la página Modify DB Instance.

  4. UNDEREspecificaciones de la instancia, conjuntoDespliegue Multi-AZa.

  5. ElegirContinuary, a continuación, consulte el resumen de las modificaciones.

  6. (Opcional) Seleccione Apply immediately (Aplicar inmediatamente) para aplicar los cambios inmediatamente. Si se selecciona esta opción, puede producirse una interrupción en algunos casos. Para obtener más información, consulteUso de la configuración de aplicación inmediataen laGuía del usuario de Amazon RDS.

  7. En la página de confirmación, revise los cambios. Si son correctos, elija Modify DB Instance para guardarlos.

[RDS.6] Se debe configurar la supervisión mejorada para los clústeres e instancias de base de datos de RDS

Categoría: Detectar - Servicios de detección

Gravedad: Baja

Tipo de recurso AWS::RDS::DBInstance

Regla de AWS Config: rds-enhanced-monitoring-enabled

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si la monitorización mejorada está habilitada para las instancias de base de datos de RDS.

En Amazon RDS, la monitorización mejorada permite una respuesta más rápida a los cambios de rendimiento en la infraestructura subyacente. Estos cambios en el rendimiento podrían provocar una falta de disponibilidad de los datos. La monitorización mejorada proporciona métricas en tiempo real del sistema operativo en el que se ejecuta la instancia de base de datos de RDS Hay un agente instalado en la instancia. El agente puede obtener métricas con mayor precisión de lo que es posible desde la capa del hipervisor.

Las métricas de monitorización mejoradas son útiles cuando desea ver cómo diferentes procesos o subprocesos en una instancia de base de datos usan la CPU. Para obtener más información, consulteMonitorización mejoradaen laGuía del usuario de Amazon RDS.

Corrección

Para obtener instrucciones detalladas sobre cómo habilitar la monitorización mejorada para su instancia de base de datos, consulteConfiguración y habilitación del monitoreo mejoradoen laGuía del usuario de Amazon RDS.

[RDS.7] Los clústeres de RDS deben tener habilitada la protección contra eliminación

Categoría: Proteger - Protección de datos - Protección contra eliminación de datos

Gravedad: Baja

Tipo de recurso AWS::RDS::DBCluster

Regla de AWS Config: rds-cluster-deletion-protection-enabled

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si los clústeres de RDS tienen habilitada la protección contra eliminación.

Este control está diseñado para instancias de base de datos de RDS. Sin embargo, también puede generar hallazgos para instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos hallazgos no son útiles, puede suprimirlos.

Habilitar la protección contra la eliminación de clústeres es una capa adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de

Cuando la protección contra eliminación esté habilitada, no se podrá eliminar un clúster de RDS. Para que una solicitud de eliminación se realice correctamente, la protección contra eliminación debe estar deshabilitada

nota

Este control no se admite en las siguientes regiones:

  • China (Pekín)

  • China (Ningxia)

  • Medio Oriente (Baréin)

  • América del Sur (São Paulo).

Corrección

Para solucionar este problema, actualice el clúster de base de datos de RDS para habilitar la protección contra eliminación.

Para habilitar la protección contra eliminación para un clúster de base de datos de

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, en, seleccioneBases de datosy, a continuación, elija el clúster de base de datos que desea modificar.

  3. Elija Modify (Modificar).

  4. UNDERDeletion protection (Protección contra eliminación), eligeEnable deletion protection (Habilitar la protección contra la eliminación).

  5. Elija Continue (Continuar).

  6. UNDERProgramación de las modificaciones modificaciones, elija cuándo desea aplicar las modificaciones. Las opciones sonApply during the next scheduled maintenance window (Aplicar durante el siguiente periodo de mantenimiento programado)oApply immediately (Aplicar inmediatamente).

  7. Elija Modify Cluster (Modificar clúster).

[RDS.8] Las instancias de base de datos de RDS deben tener habilitado la protección

Categoría:Proteger - Protección de datos - Protección contra eliminación de datos

Gravedad: Baja

Tipo de recurso AWS::RDS::DBInstance

Regla de AWS Config: rds-instance-deletion-protection-enabled

Tipo de programación Cambios activados

Parámetros:

  • databaseEngines: mariadb,mysql,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web

Este control comprueba si las instancias de base de datos de RDS que utilizan uno de los motores de base de datos enumerados tienen habilitada la protección contra eliminación.

Habilitar la protección contra la eliminación de instancias es una capa adicional de protección contra la eliminación accidental de bases de datos o la eliminación por parte de una entidad

Mientras la protección contra eliminación esté habilitada, no se puede eliminar una instancia de base de datos de RDS Para que una solicitud de eliminación se realice correctamente, la protección contra eliminación debe estar deshabilitada

Corrección

Para solucionar este problema, actualice la instancia de base de datos de RDS para habilitar la protección contra la eliminación.

Para habilitar la protección contra eliminación en una instancia de base de datos de

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, en, seleccioneBases de datosy, a continuación, elija la instancia de base de datos que desea modificar.

  3. Elija Modify (Modificar).

  4. UNDERDeletion protection (Protección contra eliminación), eligeEnable deletion protection (Habilitar la protección contra la eliminación).

  5. Elija Continue (Continuar).

  6. UNDERProgramación de las modificaciones modificaciones, elija cuándo desea aplicar las modificaciones. Las opciones sonApply during the next scheduled maintenance window (Aplicar durante el siguiente periodo de mantenimiento programado)oApply immediately (Aplicar inmediatamente).

  7. Elija Modify DB Instance.

[RDS.9] El registro de bases de datos debe estar habilitado

Categoría: Identificar - Registro

Gravedad: Media

Tipo de recurso AWS::RDS::DBInstance

Regla de AWS Config: rds-logging-enabled

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si los siguientes registros de Amazon RDS están habilitados y se envían a CloudWatch Registros:

  • Oracle: (Alerta, Auditoría, Rastreo, Oyente)

  • PostgreSQL: (Postgresql, actualización)

  • MySQL: (Auditoría, error, general, SlowQuery)

  • MariaDB: (Auditoría, error, general, SlowQuery)

  • SQL Server: (Error, agente)

  • Aurora seleccionar seleccionar seleccionar (Auditoría, error, general, SlowQuery)

  • Aurora-MySQL: (Auditoría, error, general, SlowQuery)

  • Aurora-PostgreSQL: (Postgresql, actualización).

Las bases de datos RDS deben tener habilitados los registros El registro de base de datos proporciona registros detallados de las solicitudes realizadas a RDS. Los registros de bases de datos pueden ayudar con las auditorías de seguridad y acceso y pueden ayudar a diagnosticar problemas de disponibilidad.

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • China (Ningxia)

  • Europa (Milán)

Corrección

Las opciones de registro se incluyen en el grupo de parámetros de base de datos asociado a la instancia o el clúster de base de datos de Para habilitar el registro cuando se usa el grupo de parámetros predeterminado para el motor de base de datos, debe crear un nuevo grupo de parámetros de base de datos que tenga los valores de parámetros necesarios. A continuación, debe asociar el grupo de parámetros de base de datos del cliente al clúster de base de datos o la instancia

Para habilitar y publicar registros de MariaDB, MySQL o PostgreSQL en CloudWatch Archivos de registros deAWS Management Console, defina los siguientes parámetros en un grupo de parámetros de base de datos personalizado:

Motor de base de datos

Parámetros

MariaDB

general_log=1

slow_query_log=1

log_output = FILE

MariaDB también requiere un grupo de opciones personalizadas, que se explica a continuación.

MySQL

general_log=1

slow_query_log=1

log_output = FILE

PostgreSQL

log_statement=all

log_min_duration_statement=minimum query duration (ms) to log

Para crear un grupo de parámetros de base de datos personalizado

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, seleccione Parameter groups (Grupos de parámetros).

  3. Elija Create parameter group. Aparece la ventana Create parameter group (Crear grupo de parámetros).

  4. En el navegadorGrupo de parámetroselija una familia de grupos de parámetros de base de datos.

  5. En el navegadorTipo, elijaDB Parameter Group (Grupo de parámetros de base de datos).

  6. EnGroup name, escriba el nombre del nuevo grupo de parámetros de base de datos.

  7. EnDescripción, escriba una descripción para el nuevo grupo de parámetros de base de datos.

  8. Seleccione Create (Crear).

Para crear un grupo de opciones nuevo para el registro de MariaDB mediante la consola

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, elija Option groups (Grupos de opciones).

  3. Elija Create group.

  4. En la ventana Create option group (Crear grupo de opciones), haga lo siguiente:

    1. En Name, escriba un nombre para el grupo de opciones que sea exclusivo dentro de su cuenta AWS. El nombre solo puede contener letras, dígitos y guiones.

    2. En Description, escriba una breve descripción del grupo de opciones. La descripción se utiliza para fines de visualización.

    3. En Engine, elija el motor de base de datos que desea.

    4. En Major engine version (Versión de motor principal), elija la versión principal del motor de base de datos que desea.

  5. Para continuar, elija Create (Crear).

  6. Elija el nombre del grupo de opciones que acaba de crear.

  7. Elija Add option (Agregar opción).

  8. ElegirMARIADB_AUDIT_PLUGINdesde lasNombre de la opciónlist.

  9. Establezca SERVER_AUDIT_EVENTS en CONNECT, QUERY, TABLE, QUERY_DDL, QUERY_DML, QUERY_DCL.

  10. Elija Add option (Agregar opción).

Para publicar registros de SQL Server DB, Oracle DB o PostgreSQL en CloudWatch Archivos de registros deAWS Management Console

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, elija Databases (Bases de datos).

  3. Elija la instancia de base de datos que desea modificar.

  4. Elija Modify.

  5. UNDERLog exports (Exportaciones de registros), seleccione todos los archivos de registro en los que empezar a publicar CloudWatch Registros.

    Log exports (Exportaciones de registros)está disponible para versiones de motores de base de datos que admiten la publicación en CloudWatch Registros.

  6. Elija Continue (Continuar). A continuación, en la página de resumen, elijaModificar instancia de base de.

Para aplicar un nuevo grupo de parámetros de base de datos o grupo de opciones de base de datos a una instancia de base

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, elija Databases (Bases de datos).

  3. Elija la instancia de base de datos que desea modificar.

  4. Elija Modify (Modificar). Aparece la página Modify DB Instance.

  5. UNDEROpciones de base de datos, cambie el grupo de parámetros y el grupo de opciones de base de datos según sea necesario.

  6. Cuando termine sus cambios, elijaContinuar. Consulte el resumen de las modificaciones.

  7. (Opcional) Seleccione Apply immediately (Aplicar inmediatamente) para aplicar los cambios inmediatamente. Si se selecciona esta opción, puede producirse una interrupción en algunos casos. Para obtener más información, consulteUso de la configuración de aplicación inmediataen laAmazon RDS User Guide.

  8. Seleccione Modify DB Instance (Modificar instancia de base de datos) para guardar los cambios.

[RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

Categoría: Proteger - Administración de acceso seguro - Autenticación sin contraseña

Gravedad: Media

Tipo de recurso AWS::RDS::DBInstance

Regla de AWS Config: rds-instance-iam-authentication-enabled

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si una instancia de base de datos de RDS tiene habilitada la autenticación de base de datos de

La autenticación de la base de datos de IAM permite la autenticación de las instancias de base de datos con un token de autenticación en lugar El tráfico de red hacia y desde la base de datos se cifra mediante SSL. Para obtener más información, consulteAutenticación de bases de datos de IAMen laGuía del usuario de Amazon Aurora.

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Hong Kong)

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

Corrección

Para solucionar este problema, actualice la instancia de base de datos para activar la autenticación de IAM.

Para habilitar la autenticación de IAM para una instancia de base de datos existente

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. Seleccione Databases (Bases de datos).

  3. Seleccione la instancia de base de datos que desee modificar.

  4. Elija Modify (Modificar).

  5. UNDEROpciones de base de datos, eligeHabilitar la autenticación de base de datos.

  6. Elija Continue (Continuar).

  7. UNDERProgramación de las modificaciones modificaciones, elija cuándo desea aplicar las modificaciones. Las opciones sonApply during the next scheduled maintenance window (Aplicar durante el siguiente periodo de mantenimiento programado)oApply immediately (Aplicar inmediatamente).

  8. Para los clústeres, elijaModificar instancia de base de.

[RDS.11] Las instancias de Amazon RDS deben tener habilitados los respaldos automáticos

Categoría: Recuperación > Resiliencia > Respaldos

Gravedad: Media

Tipo de recurso AWS::RDS::DBCluster

Regla de AWS Config: db-instance-backup-enabled

Tipo de programación Cambios activados

Parámetros:

  • backupRetentionMinimum: 7

Este control comprueba si las instancias de Amazon Relational Database Service tienen habilitadas las copias de seguridad automatizadas y si el período de retención de copias de seguridad es superior o igual a siete días. El control falla si las copias de seguridad no están habilitadas y si el período de retención es inferior a 7 días.

Las copias de seguridad lo ayudan a recuperarse más rápidamente de un incidente de seguridad y fortalecen la resistencia de sus sistemas. Amazon RDS proporciona una forma sencilla de configurar instantáneas de volumen de instancias completas diarias. Para obtener más información sobre los backups automatizados de Amazon RDS, consulteTrabajo con backupsen la Guía del usuario de Amazon RDS.

nota

Este control no se admite en Asia-Pacífico (Osaka).

Corrección

Para habilitar las copias de seguridad automatizadas inmediatamente

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, elija Databases (Bases de datos) y, a continuación, seleccione la instancia de base de datos que desee modificar.

  3. ElegirModificarpara abrirModificar instancia de base de(Se ha creado el certificado).

  4. UNDERBackup Retention Period, elija un valor positivo distinto de cero, por ejemplo, 30 días, y seleccioneContinuar.

  5. Seleccione laProgramación de las modificaciones modificacionesy elige cuándo aplicar las modificaciones: puedes elegirApply during the next scheduled maintenance window (Aplicar durante el siguiente periodo de mantenimiento programado)oApply immediately (Aplicar inmediatamente).

  6. A continuación, en la página de confirmación, seleccioneModificar instancia de base depara guardar los cambios y habilitar las copias de seguridad automatizadas.

[RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

Categoría: Proteger - Administración de acceso seguro - Autenticación sin contraseña

Gravedad: Media

Tipo de recurso AWS::RDS::DBCluster,AWS::RDS::DBInstance

Regla de AWS Config: rds-cluster-iam-authentication-enabled

Tipo de programación Cambios activados

Parámetros:Ninguna

Este control verifica si un clúster de base de datos de Amazon RDS tiene habilitada la autenticación de bases de datos de

La autenticación de bases de datos de IAM permite la autenticación sin contraseña en las instancias de base de datos. La autenticación utiliza un token de autenticación. El tráfico de red hacia y desde la base de datos se cifra mediante SSL. Para obtener más información, consulteAutenticación de bases de datos de IAMen laGuía del usuario de Amazon Aurora.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • Medio Oriente (Baréin)

  • América del Sur (São Paulo)

  • AWS GovCloud (EE. Este)

  • AWS GovCloud (EE. Este)

Corrección

Puede habilitar la autenticación de IAM para un clúster de base de datos desde la consola de Amazon RDS.

Para habilitar la autenticación de IAM para un clúster de base de datos existente

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. Seleccione Databases (Bases de datos).

  3. Elija el clúster de base de datos que desee modificar.

  4. Elija Modify (Modificar).

  5. UNDEROpciones de base de datosseleccionar seleccionar seleccionar seleccionarHabilitar la autenticación de base de datos.

  6. Elija Continue (Continuar).

  7. UNDERProgramación de las modificaciones modificaciones, elija cuándo aplicar las modificaciones: Apply during the next scheduled maintenance window (Aplicar durante el siguiente periodo de mantenimiento programado)oApply immediately (Aplicar inmediatamente).

  8. Elija Modify Cluster (Modificar clúster).

[RDS.13] Deben habilitarse las actualizaciones automáticas de versiones secundarias de RDS

Categoría: Detectar > Administración de vulnerabilidades y parches

Gravedad: Alta

Tipo de recurso AWS::RDS::DBInstance

Regla de AWS Config: rds-automatic-minor-version-upgrade-enabled

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si las actualizaciones automáticas de versiones secundarias están habilitadas para la instancia de base de datos de RDS.

La activación de las actualizaciones automáticas de versiones secundarias garantiza que se instalen las últimas actualizaciones de la versión secundaria del sistema de administración de bases de datos relacionales (RDBMS). Estas actualizaciones pueden incluir parches de seguridad y correcciones de errores. Mantenerse al día con la instalación de parches es un paso importante para asegurar los sistemas.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. Este)

  • AWS GovCloud (EE. Este)

Corrección

Puede habilitar actualizaciones de versiones secundarias para una instancia de base de datos desde la consola de Amazon RDS.

Activar actualizaciones automáticas de versiones secundarias para una instancia de base de datos existente

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. Seleccione Databases (Bases de datos).

  3. Elija la instancia de base de datos que desee modificar.

  4. Elija Modify (Modificar).

  5. UNDERMantenimientoseleccionar seleccionar seleccionar seleccionarparaAuto minor version upgrade.

  6. Elija Continue (Continuar).

  7. UNDERProgramación de las modificaciones modificaciones, elija cuándo aplicar las modificaciones: Apply during the next scheduled maintenance window (Aplicar durante el siguiente periodo de mantenimiento programado)oApply immediately (Aplicar inmediatamente).

  8. Elija Modify DB Instance.

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

Categoría: Recuperación > Resiliencia > Respaldos

Gravedad: Media

Tipo de recurso AWS::RDS::DBCluster

Regla de AWS Config: aurora-mysql-backtracking-enabled

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si los clústeres de Amazon Aurora tienen habilitado el retroceso.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También fortalecen la capacidad de recuperación de sus sistemas. El retroceso de Aurora reduce el tiempo de recuperación de una base de datos a un momento determinado. No requiere una restauración de la base de datos para hacerlo.

Para obtener más información acerca de la búsqueda de datos anteriores en Aurora, consulteBúsqueda de datos anteriores de un clúster de base de datos de Auroraen laGuía del usuario de Amazon Aurora.

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Hong Kong)

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • Europa (Milán)

  • Europe (Stockholm)

  • Middle East (Bahrain)

  • América del Sur (São Paulo)

  • AWS GovCloud (EE. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Para obtener instrucciones detalladas sobre cómo habilitar el retroceso de Aurora, consulteConfiguración de la búsqueda de datos anterioresen laGuía del usuario de Amazon Aurora.

Tenga en cuenta que no puede habilitar el retroceso en un clúster existente. En su lugar, puede crear un clon que tenga habilitado el retroceso. Para obtener más información sobre las limitaciones del retroceso de Aurora, consulte la lista de limitaciones enInformación general de búsquedas de datos anteriores.

Para obtener más información sobre los precios de la búsqueda de datos anteriores, consultePágina de precios de Aurora.

[RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: Media

Tipo de recurso AWS::RDS::DBCluster

Regla de AWS Config: rds-cluster-multi-az-enabled

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si la alta disponibilidad está habilitada para los clústeres de base de datos de RDS.

Los clústeres de base de datos de RDS se deben configurar para varias zonas de disponibilidad a fin de garantizar la disponibilidad de los datos almacenados. La implementación en varias zonas de disponibilidad permite la conmutación por error automatizada en caso de un problema de disponibilidad de la zona de disponibilidad y durante los eventos de mantenimiento de RDS regulares.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • Medio Oriente (Baréin)

  • América del Sur (São Paulo)

  • AWS GovCloud (EE. Este)

  • AWS GovCloud (EE. Este)

Corrección

Para corregir este control, configure el clúster de base de datos para varias zonas de disponibilidad.

Para habilitar Multi-AZ en un clúster de base de datos

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, en, seleccioneBases de datosy, a continuación, seleccione la instancia de base de datos para modificar.

  3. Elija Modify (Modificar). Aparece la página Modify DB Instance.

  4. UNDEREspecificaciones de la instancia, conjuntoDespliegue Multi-AZa.

  5. Elija Continue y consulte el resumen de las modificaciones.

  6. (Opcional) Seleccione Apply immediately (Aplicar inmediatamente) para aplicar los cambios inmediatamente. Si se selecciona esta opción, puede producirse una interrupción en algunos casos. Para obtener más información, consulteUso de la configuración de aplicación inmediataen laAmazon RDS User Guide.

    En la página de confirmación, revise los cambios. Si son correctos, elijaModificar instancia de base de.

[RDS.16] Los clústeres de base de datos de RDS se deben configurar para copiar etiquetas en instantáneas

Categoría: Identificar - Inventario

Gravedad: Baja

Tipo de recurso AWS::RDS::DBCluster

Regla de AWS Config: rds-cluster-copy-tags-to-snapshots-enabled (Regla personalizada desarrollada por Security Hub)

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si los clústeres de base de datos de RDS están configurados para copiar todas las etiquetas en las instantáneas cuando se crean las instantáneas.

La identificación y el inventario de sus activos de TI es un aspecto fundamental del control y la seguridad. Tiene que tener una visión de todos sus clústeres de base de datos de RDS de tal manera que pueda evaluar sus medidas de seguridad y tomar así las acciones pertinentes respecto a las posibles áreas débiles. Las instantáneas se deben etiquetar de la misma manera que sus clústeres de bases de datos RDS principales. Al habilitar esta configuración, se garantiza que las instantáneas heredan las etiquetas de sus clústeres de bases de datos principales.

nota

Este control no se admite en las siguientes regiones:

  • China (Pekín)

  • Medio Oriente (Baréin)

  • América del Sur (São Paulo)

Corrección

Para habilitar la copia automática de etiquetas en instantáneas de un clúster de base de datos

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. Seleccione Databases (Bases de datos).

  3. Seleccione el clúster de base de datos que desee modificar.

  4. Elija Modify (Modificar).

  5. UNDERCopia de seguridadseleccionar seleccionar seleccionar seleccionarCopy Tags To Snapshots (Copiar etiquetas en instantáneas).

  6. Elija Continue (Continuar).

  7. UNDERProgramación de las modificaciones modificaciones, elija cuándo desea aplicar las modificaciones. Puede elegirApply during the next scheduled maintenance window (Aplicar durante el siguiente periodo de mantenimiento programado)oApply immediately (Aplicar inmediatamente).

[RDS.17] Las instancias de base de datos de RDS deben configurarse para copiar etiquetas en instantáneas

Categoría: Identificar - Inventario

Gravedad: Baja

Tipo de recurso AWS::RDS::DBInstance

Regla de AWS Config: rds-instance-copy-tags-to-snapshots-enabled (Regla personalizada desarrollada por Security Hub)

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si las instancias de base de datos de RDS están configuradas para copiar todas las etiquetas en las instantáneas cuando se crean las instantáneas.

La identificación y el inventario de sus activos de TI son aspectos cruciales de seguridad y control. Tiene que tener una visión de todas sus instancias de base de datos de RDS de tal manera que pueda evaluar sus medidas de seguridad y tomar así las acciones pertinentes respecto a las posibles áreas débiles. Las instantáneas se deben etiquetar de la misma manera que sus instancias de base de datos RDS principales. Al habilitar esta configuración, se garantiza que las instantáneas heredan las etiquetas de sus instancias de bases de datos principales.

Corrección

Para habilitar la copia automática de etiquetas en instantáneas de una instancia de base de datos

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. Seleccione Databases (Bases de datos).

  3. Seleccione la instancia de base de datos que desee modificar.

  4. Elija Modify (Modificar).

  5. UNDERCopia de seguridadseleccionar seleccionar seleccionar seleccionarCopy Tags To Snapshots (Copiar etiquetas en instantáneas).

  6. Elija Continue (Continuar).

  7. UNDERProgramación de las modificaciones modificaciones, elija cuándo desea aplicar las modificaciones. Puede elegirApply during the next scheduled maintenance window (Aplicar durante el siguiente periodo de mantenimiento programado)oApply immediately (Aplicar inmediatamente).

[RDS.18] Las instancias de RDS deben implementarse en una VPC

Categoría: Proteger - Configuración de red segura > Recursos dentro de la VPC

Gravedad: Alta

Tipo de recurso AWS::RDS::DBInstance

Regla de AWS Config: rds-deployed-in-vpc (Regla personalizada desarrollada por Security Hub)

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si una instancia de Amazon RDS está implementada en EC2-VPC.

Las VPC proporcionan una serie de controles de red para proteger el acceso a los recursos de RDS. Estos controles incluyen puntos de enlace de VPC, ACL de red y grupos de seguridad. Para aprovechar estos controles, le recomendamos que cree las instancias de RDS en EC2-VPC.

Corrección

Para obtener instrucciones detalladas sobre cómo mover instancias de RDS a VPC, consulteActualización de la VPC para una instancia de base de datosen laAmazon RDS User Guide.

[RDS.19] Se debe configurar una suscripción a notificaciones de eventos de RDS para los eventos críticos del clúster

Categoría: Detectar - Servicios de detección - Supervisión de aplicaciones

Gravedad: Baja

Tipo de recurso AWS::RDS::EventSubscription

Regla de AWS Config: rds-cluster-event-notifications-configured (Regla personalizada desarrollada por Security Hub)

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si existe una suscripción a eventos de Amazon RDS que tenga habilitadas las notificaciones para los siguientes pares clave-valor de categoría de evento y tipo de fuente.

DBCluster: ["maintenance","failure"]

Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener información adicional sobre las notificaciones de eventos de RDS, consulteUso de las notificaciones de eventos de Amazon RDSen laAmazon RDS User Guide.

Corrección

Para suscribirse a las notificaciones de eventos de clústeres

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación seleccione Event Subscriptions (Suscripciones de eventos).

  3. UNDERSuscripciones de eventos, eligeCrear suscripción de evento.

  4. En el navegadorCrear suscripción de evento, haga lo siguiente:

    1. En Name (Nombre) escriba un nombre para la suscripción de notificación de evento.

    2. ParaEnviar notificaciones a, elija un ARN de Amazon SNS existente para un tema de SNS. Para usar un nuevo tema de, elijacrear temapara escribir el nombre de un tema y una lista de destinatarios.

    3. ParaTipo de origen, eligeClústeres.

    4. UNDERInstancias que se incluyenseleccionar seleccionar seleccionar seleccionarTodos los clústeres.

    5. UNDERCategorías de eventos que se incluiránseleccionar seleccionar seleccionar seleccionarCategorías de eventos específicas. El control también pasa si seleccionaTodas las categorías de eventos.

    6. Selectmantenimientoyfracaso.

    7. Seleccione Create (Crear).

[RDS.20] Se debe configurar una suscripción a notificaciones de eventos de RDS para los eventos de instancia de base de datos críticos

Categoría: Detectar - Servicios de detección - Supervisión de aplicaciones

Gravedad: Baja

Tipo de recurso AWS::RDS::EventSubscription

Regla de AWS Config: rds-instance-event-notifications-configured (Regla personalizada desarrollada por Security Hub)

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si existe una suscripción a eventos de Amazon RDS con notificaciones habilitadas para los siguientes pares clave-valor de categoría de evento y tipo de fuente.

DBInstance: ["maintenance","configuration change","failure"]

Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener información adicional sobre las notificaciones de eventos de RDS, consulteUso de las notificaciones de eventos de Amazon RDSen laAmazon RDS User Guide.

Corrección

Para suscribirse a las notificaciones de eventos de las instancias

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación seleccione Event Subscriptions (Suscripciones de eventos).

  3. UNDERSuscripciones de eventos, eligeCrear suscripción de evento.

  4. En el navegadorCrear suscripción de evento, haga lo siguiente:

    1. En Name (Nombre) escriba un nombre para la suscripción de notificación de evento.

    2. ParaEnviar notificaciones a, elija un ARN de Amazon SNS existente para un tema de SNS. Para usar un nuevo tema de, elijacrear temapara escribir el nombre de un tema y una lista de destinatarios.

    3. ParaTipo de origen, eligeInstancias.

    4. UNDERInstancias que se incluyenseleccionar seleccionar seleccionar seleccionarTodas las instancias.

    5. UNDERCategorías de eventos que se incluiránseleccionar seleccionar seleccionar seleccionarCategorías de eventos específicas. El control también pasa si seleccionaTodas las categorías de eventos.

    6. Selectmantenimiento,configuration change, yfracaso.

    7. Seleccione Create (Crear).

[RDS.21] Se debe configurar una suscripción a notificaciones de eventos de RDS para eventos de grupos de parámetros de base de datos críticos

Categoría: Detectar - Servicios de detección - Supervisión de aplicaciones

Gravedad: Baja

Tipo de recurso AWS::RDS::EventSubscription

Regla de AWS Config: rds-pg-event-notifications-configured (Regla personalizada desarrollada por Security Hub)

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si existe una suscripción a eventos de Amazon RDS con notificaciones habilitadas para los siguientes pares clave-valor de categoría de evento y tipo de fuente.

DBParameterGroup: ["configuration change"]

Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener información adicional sobre las notificaciones de eventos de RDS, consulteUso de las notificaciones de eventos de Amazon RDSen laAmazon RDS User Guide.

Corrección

Para suscribirse a las notificaciones de eventos de grupos de parámetros de base

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación seleccione Event Subscriptions (Suscripciones de eventos).

  3. UNDERSuscripciones de eventos, eligeCrear suscripción de evento.

  4. En el navegadorCrear suscripción de evento, haga lo siguiente:

    1. En Name (Nombre) escriba un nombre para la suscripción de notificación de evento.

    2. ParaEnviar notificaciones a, elija un ARN de Amazon SNS existente para un tema de SNS. Para usar un nuevo tema de, elijacrear temapara escribir el nombre de un tema y una lista de destinatarios.

    3. ParaTipo de origen, eligeGrupos de parámetros.

    4. UNDERInstancias que se incluyenseleccionar seleccionar seleccionar seleccionarTodos los grupos de parámetros.

    5. UNDERCategorías de eventos que se incluiránseleccionar seleccionar seleccionar seleccionarCategorías de eventos específicas. El control también pasa si seleccionaTodas las categorías de eventos.

    6. Selectconfiguration change.

    7. Seleccione Create (Crear).

[RDS.22] Se debe configurar una suscripción a notificaciones de eventos de RDS para eventos críticos de grupos de seguridad de bases de datos

Categoría: Detectar > Servicios de detección > Supervisión de aplicaciones

Gravedad: Baja

Tipo de recurso AWS::RDS::EventSubscription

Regla de AWS Config: rds-sg-event-notifications-configured (Regla personalizada desarrollada por Security Hub)

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si existe una suscripción a eventos de Amazon RDS con notificaciones habilitadas para los siguientes pares clave-valor de categoría de evento y tipo de fuente.

DBSecurityGroup: ["configuration change","failure"]

Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener información adicional sobre las notificaciones de eventos de RDS, consulteUso de las notificaciones de eventos de Amazon RDSen laAmazon RDS User Guide.

Corrección

Para suscribirse a las notificaciones de eventos de grupos de seguridad de base

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación seleccione Event Subscriptions (Suscripciones de eventos).

  3. UNDERSuscripciones de eventos, eligeCrear suscripción de evento.

  4. En el navegadorCrear suscripción de evento, haga lo siguiente:

    1. En Name (Nombre) escriba un nombre para la suscripción de notificación de evento.

    2. ParaEnviar notificaciones a, elija un ARN de Amazon SNS existente para un tema de SNS. Para usar un nuevo tema de, elijacrear temapara escribir el nombre de un tema y una lista de destinatarios.

    3. ParaTipo de origen, eligeGrupos de seguridad.

    4. UNDERInstancias que se incluyenseleccionar seleccionar seleccionar seleccionarTodos los grupos de seguridad.

    5. UNDERCategorías de eventos que se incluiránseleccionar seleccionar seleccionar seleccionarCategorías de eventos específicas. El control también pasa si seleccionaTodas las categorías de eventos.

    6. Selectconfiguration changeyfracaso.

    7. Seleccione Create (Crear).

[RDS.23] Las bases de datos y clústeres de RDS no deben usar un puerto predeterminado del motor de base

Categoría: Proteger - Configuración de red segura

Gravedad: Baja

Tipo de recurso AWS::RDS::DBInstance

Regla de AWS Config: rds-no-default-ports (Regla personalizada desarrollada por Security Hub)

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si el clúster o la instancia de RDS utiliza un puerto que no sea el puerto predeterminado del motor de base de datos.

Si usa un puerto conocido para implementar un clúster o una instancia de RDS, un atacante puede adivinar información sobre el clúster o la instancia. El atacante puede usar esta información junto con otra información para conectarse a un clúster o una instancia de RDS u obtener información adicional sobre la aplicación.

Al cambiar el puerto, también debe actualizar las cadenas de conexión existentes que se usaron para conectarse al puerto anterior. También debe comprobar el grupo de seguridad de la instancia de base de datos para asegurarse de que incluye una regla de entrada que permita la conectividad en el nuevo puerto.

Corrección

Para modificar el puerto predeterminado de una instancia de base de datos existente

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. Seleccione Databases (Bases de datos).

  3. Seleccione la instancia de base de datos de que

  4. Elija Modify (Modificar).

  5. UNDEROpciones de base de datos, seleccionar, seleccionarDatabase Port (Puerto de base de datos):a un valor no predeterminado.

  6. Elija Continue (Continuar).

  7. UNDERProgramación de las modificaciones modificaciones, elija cuándo desea aplicar las modificaciones. Puede elegirApply during the next scheduled maintenance window (Aplicar durante el siguiente periodo de mantenimiento programado)oApply immediately (Aplicar inmediatamente).

  8. Para los clústeres, elijaModificar tipo de recurso. Para las instancias, elijaModificar instancia de base de.

[RDS.24] Los clústeres de bases de datos de RDS deben usar un nombre de usuario

Categoría: Identificar > Configuración de recursos

Gravedad: Media

Tipo de recurso AWS::RDS:DBCluster

Regla de AWS Config: rds-cluster-default-admin-check

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si un clúster de base de datos de Amazon RDS ha cambiado el nombre de usuario de administrador de su valor predeterminado. Esta regla fallará si el nombre de usuario de administrador se establece en el valor predeterminado.

Al crear una base de datos de Amazon RDS, debe cambiar el nombre de usuario de administrador predeterminado por un valor único. Los nombres de usuario predeterminados son de conocimiento público y deben cambiarse durante la creación de la base de datos de Cambiar los nombres de usuario predeterminados reduce el riesgo de acceso no deseado.

Corrección

Para cambiar el nombre de usuario administrador asociado al clúster de base de datos de Amazon RDS,crear un clúster de base de datos RDSy cambie el nombre de usuario de administrador predeterminado al crear la base de datos.

[RDS.25] Las instancias de base de datos RDS deben usar un nombre de usuario de administrador

Categoría: Identificar > Configuración de recursos

Gravedad: Media

Tipo de recurso AWS::RDS::DBInstance

Regla de AWS Config: rds-instance-default-admin-check

Tipo de programación Cambios activados

Parámetros: Ninguno

Este control comprueba si ha cambiado el nombre de usuario administrativo de las instancias de base de datos de Amazon Relational Database Service (Amazon RDS) respecto al valor predeterminado. El control falla si el nombre de usuario administrativo se establece en el valor predeterminado.

Los nombres de usuario administrativos predeterminados de las bases de datos de Amazon RDS son de conocimiento Al crear una base de datos de Amazon RDS, debe cambiar el nombre de usuario administrativo predeterminado a un valor único para reducir el riesgo de acceso no intencionado.

Corrección

Para cambiar el nombre de usuario administrativo asociado a una instancia de base de datos RDS, primerocrear una instancia de base de datos RDS. Cambie el nombre de usuario administrativo predeterminado al crear la base de datos.

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

Categoría: Proteger - Configuración de red segura - Recursos no accesibles públicamente

Gravedad: Critical

Tipo de recurso: AWS::Redshift::Cluster

Regla de AWS Config: redshift-cluster-public-access-check

Tipo de programación: programación Cambios activados

Parámetros: Ninguno

Este control comprueba si los clústeres de Amazon Redshift son de acceso público. Evalúa elPubliclyAccessibleen el elemento de configuración del clúster.

LaPubliclyAccessiblede la configuración del clúster de Amazon Redshift indica si el clúster es de acceso público. Cuando el clúster está configurado conPubliclyAccessibleseleccionar seleccionar seleccionar seleccionartrue, se trata de una instancia conectada a Internet que tiene un nombre DNS que puede resolverse públicamente y que se resuelve en una dirección IP pública.

Cuando el clúster no es accesible públicamente, se trata de una instancia interna con un nombre DNS que se resuelve en una dirección IP privada. A menos que tenga la intención de dar acceso público al clúster, el clúster no debe configurarse conPubliclyAccessibleseleccionar seleccionar seleccionar seleccionartrue.

Corrección

Para solucionar este problema, actualice el clúster de Amazon Redshift para deshabilitar el acceso público.

Para deshabilitar el acceso público a un clúster de Amazon Redshift

  1. Abra la consola de Amazon Redshift en https://console.aws.amazon.com/redshift/.

  2. En el menú de navegación, en, seleccioneClústeresy, a continuación, seleccione el nombre del clúster con el grupo de seguridad para modificar.

  3. ElegirActionsy,, después,Modificación del acceso público.

  4. UNDERPermita que las instancias y los dispositivos fuera de la VPC se conecten a la base de datos a través del punto, eligeNo.

  5. Elija Confirm.

[Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito

Categoría: Proteger - Protección de datos en tránsito

Gravedad: Media

Tipo de recurso: AWS::Redshift::Cluster

Regla de AWS Config: redshift-require-tls-ssl

Tipo de programación: programación Cambios activados

Parámetros: Ninguno

Este control comprueba si las conexiones a los clústeres de Amazon Redshift son necesarias para usar el cifrado en tránsito. La comprobación se produce un error si el parámetro de clúster de Amazon Redshiftrequire_SSLno está establecido en 1.

TLS se puede usar para ayudar a evitar que los posibles atacantes usen person-in-the-middle o ataques similares para espiar o manipular el tráfico de la red. Solo se deben permitir las conexiones cifradas a través de TLS. El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta función para comprender el perfil de rendimiento y el impacto de TLS.

nota

Este control no es compatible en Europa (Milán).

Corrección

Para solucionar este problema, actualice el grupo de parámetros para que requiera cifrado.

Para modificar un grupo de parámetros

  1. Abra la consola de Amazon Redshift en https://console.aws.amazon.com/redshift/.

  2. En el menú de navegación, en, seleccioneConfigy,, después,Administración de la carga de trabajopara visualizarAdministración de la carga de trabajo(Se ha creado el certificado).

  3. Elija el grupo de parámetros que desea modificar.

  4. ElegirParámetros.

  5. ElegirEdición de parámetrosseleccionar seleccionar seleccionar seleccionarrequire_ssla 1.

  6. Introduzca sus cambios y, a continuación, elijaGuardar.

[Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

Categoría: Recuperación > Resiliencia > Respaldos

Gravedad: Media

Tipo de recurso: AWS::Redshift::Cluster

Regla de AWS Config: redshift-backup-enabled

Tipo de programación: programación Cambios activados

Parámetros:

  • MinRetentionPeriod = 7

Este control comprueba si los clústeres de Amazon Redshift tienen habilitadas las instantáneas automatizadas. También comprueba si el período de retención de instantáneas es mayor o igual a siete.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. Refuerzan la resiliencia de sus sistemas. Amazon Redshift toma instantáneas periódicas de forma predeterminada. Este control comprueba si las instantáneas automáticas se habilitan y se conservan durante al menos siete días. Para obtener más detalles sobre las instantáneas automatizadas de Amazon Redshift, consulteInstantáneas automatizadasen laAmazon Redshift.

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • Asia-Pacífico (Sídney)

  • China (Ningxia)

  • Europa (Milán)

Corrección

Para solucionar este problema, actualice el período de retención de instantáneas a al menos 7.

Para modificar el periodo de retención de instantáneas de

  1. Abra la consola de Amazon Redshift en https://console.aws.amazon.com/redshift/.

  2. En el menú de navegación, en, seleccioneClústeresy, a continuación, elija el nombre del clúster que desea modificar.

  3. Elija Edit (Editar).

  4. UNDERCopia de seguridad, conjuntoRetención de instantáneasa un valor de 7 o superior.

  5. Elija Modify Cluster (Modificar clúster).

[Redshift.4] Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría

Categoría: Identificar - Registro

Gravedad: Media

Tipo de recurso: AWS::Redshift::Cluster

Regla de AWS Config: redshift-cluster-audit-logging-enabled (Regla personalizada desarrollada por Security Hub)

Tipo de programación: programación Cambios activados

Parámetros:

  • loggingEnabled = true

Este control comprueba si un clúster de Amazon Redshift tiene habilitado el registro de auditoría.

Los registros de auditoría de Amazon Redshift proporcionan información adicional acerca de las conexiones y las actividades de usuario en su clúster. Estos datos se pueden almacenar y proteger en Amazon S3 y pueden ser útiles en auditorías e investigaciones de seguridad. Para obtener más información, consulteRegistro de auditoría de bases de datosen laAmazon Redshift.

Corrección

Para habilitar el registro de auditoría de clúster

  1. Abra la consola de Amazon Redshift en https://console.aws.amazon.com/redshift/.

  2. En el menú de navegación, en, seleccioneClústeresy, a continuación, elija el nombre del clúster que desea modificar.

  3. ElegirMantenimiento y monitoreo.

  4. UNDERRegistro de auditoría, eligeEditar.

  5. EstablezcaActivar el registro de auditoríaae introduzca los detalles del bucket de destino del registro.

  6. Elija Confirm.

[Redshift.6] Amazon Redshift debe tener habilitadas las actualizaciones automáticas a las versiones principales

Categoría: Detectar > Administración de vulnerabilidades y parches

Gravedad: Media

Tipo de recurso: AWS::Redshift::Cluster

Regla de AWS Config: redshift-cluster-maintenancesettings-check

Tipo de programación: programación Cambio activado

Parámetros:

  • allowVersionUpgrade = true

Este control comprueba si las actualizaciones automáticas de versiones principales están habilitadas para el clúster de Amazon Redshift.

La activación de las actualizaciones de versiones principales automáticas garantiza que se instalen las últimas actualizaciones de las versiones principales de los clústeres de Amazon Redshift durante el período de mantenimiento. Estas actualizaciones pueden incluir parches de seguridad y correcciones de errores. Mantenerse al día con la instalación de parches es un paso importante para asegurar los sistemas.

nota

Este control no se admite en Medio Oriente (Baréin).

Corrección

Para solucionar este problema desde elAWS CLI, utilice Amazon Redshiftmodify-clusterpara establecer el--allow-version-upgradeatributo.

aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade

Dondeclusternamees el nombre del clúster de Amazon Redshift.

[Redshift.7] Los clústeres de Amazon Redshift deben usar enrutamiento de VPC mejorado

Categoría: Proteger - Configuración de red segura

Gravedad: Media

Tipo de recurso: AWS::Redshift::Cluster

Regla de AWS Config: redshift-enhanced-vpc-routing-enabled

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba si un clúster de Amazon Redshift tieneEnhancedVpcRoutingseleccionar seleccionar.

El enrutamiento de VPC mejorado obliga a todosCOPYyUNLOADtráfico entre el clúster y los repositorios de datos para que pase por la VPC. A continuación, puede usar funciones de VPC, como grupos de seguridad y listas de control de acceso a la red, para proteger el tráfico de red. También puede usar Logs de flujo de VPC para monitorear el tráfico de la red.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. Este)

  • AWS GovCloud (EE. Este)

Corrección

Para obtener instrucciones detalladas de corrección, consulte.Habilitación de Enhanced VPC Routingen laAmazon Redshift.

[Redshift.8] Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado

Categoría: Identificar > Configuración de recursos

Gravedad: Media

Tipo de recurso: AWS::Redshift::Cluster

Regla de AWS Config: redshift-default-admin-check

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba si un clúster de Amazon Redshift ha cambiado el nombre de usuario de administrador de su valor predeterminado. Este control fallará si el nombre de usuario de administrador de un clúster de Redshift se establece enawsuser.

Al crear un clúster de Redshift, debe cambiar el nombre de usuario de administrador predeterminado a un valor único. Los nombres de usuario predeterminados son de conocimiento público y deben cambiarse tras la configuración. Cambiar los nombres de usuario predeterminados reduce el riesgo de acceso no deseado.

Corrección

No se puede cambiar el nombre de usuario de administrador del clúster de Amazon Redshift después de crearlo. Para crear un clúster nuevo, siga las instruccionesaquí.

[Redshift.9] Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado

Categoría: Identificar > Configuración de recursos

Gravedad: Media

Tipo de recurso: AWS::Redshift::Cluster

Regla de AWS Config: redshift-default-db-name-check

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba si un clúster de Amazon Redshift ha cambiado el nombre de la base de datos respecto a su valor predeterminado. El control fallará si el nombre de la base de datos de un clúster de Redshift se establece endev.

Al crear un clúster de Redshift, debe cambiar el nombre de la base de datos predeterminada a un valor único. Los nombres predeterminados son de conocimiento público y deben cambiarse en el momento de la configuración. Por ejemplo, un nombre conocido podría provocar un acceso involuntario si se utilizara en las condiciones de la política de IAM.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

No se puede cambiar el nombre de la base de datos del clúster de Amazon Redshift después de crearlo. Para obtener instrucciones sobre cómo crear un clúster nuevo, consulteIntroducción a Amazon Redshiften laGuía de introducción a Amazon Redshift.

[S3.1] La configuración de S3 Block Public Access debe estar habilitada

Categoría: Proteger - Configuración de red segura

Gravedad: Media

Tipo de recurso: AWScuenta

Regla de AWS Config: s3-account-level-public-access-blocks-periodic

Tipo de programación: programación Periódico

Parámetros:

  • ignorePublicAcls: true

  • blockPublicPolicy: true

  • blockPublicAcls: true

  • restrictPublicBuckets: true

Este control comprueba si la siguiente configuración del bloque de acceso público de Amazon S3 está configurada en el nivel de cuenta:

  • ignorePublicAcls: true

  • blockPublicPolicy: true

  • blockPublicAcls: true

  • restrictPublicBuckets: true

El control pasa si todos los ajustes de bloqueo de acceso público están configurados entrue.

El control falla si alguna de las opciones se establece enfalseo si alguna de las opciones no está configurada.

El bloque de acceso público de Amazon S3 está diseñado para proporcionar controles en toda unaAWSo en el nivel del bucket de S3 individual para garantizar que los objetos nunca tengan acceso público. El acceso público se otorga a grupos y objetos a través de listas de control de acceso (ACL), políticas de bucket o ambas.

A menos que quiera que se pueda acceder públicamente a sus buckets de S3, debe configurar la característica de acceso público de bloques de Amazon S3 de nivel de cuenta.

Para obtener más información, consulteUso de Amazon S3 Block Public Accessen laGuía del usuario de Amazon.

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • Europe (Milan)

  • Middle East (Bahrain)

Corrección

Para solucionar este problema, habilite Block Public Access de Amazon S3.

Para habilitar Amazon S3 Block Public Access

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. Elija Block public access (account settings) [Block Public Access (configuración de la cuenta)].

  3. Elija Edit (Editar).

  4. SelectBloquetodosAcceso público público público.

  5. Elija Save changes (Guardar cambios).

Para obtener más información, consulteUso del bloqueo de acceso público de Amazon S3en laGuía del usuario de Amazon.

[S3.2] Los buckets de S3 deberían prohibir el acceso de lectura público

Categoría: Proteger - Configuración de red segura

Gravedad: Critical

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-public-read-prohibited

Tipo de programación: programación Periódico y desencadenado por cambios

Parámetros: Ninguno

Este control comprueba si los buckets de S3 permiten el acceso de lectura público. Evalúa la configuración de Block Public Access, la política del bucket y la lista de control de acceso (ACL) del bucket.

Algunos casos de uso requieren que todos en Internet puedan leer desde su bucket S3. Sin embargo, esas situaciones son poco habituales. Para garantizar la integridad y la seguridad de los datos, el bucket de S3 no debe tener acceso de lectura público.

Corrección

Para solucionar este problema, actualice su depósito de S3 para eliminar el acceso público.

Para eliminar el acceso público de un bucket de S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. En el panel de navegación izquierdo, elija Instances (Instancias).

  3. Elija el nombre del bucket de S3 que desee actualizar.

  4. ElegirPermisosy luegoBloquear acceso público.

  5. Elija Edit (Editar).

  6. SelectBloquetodosAcceso público público público. A continuación, elija Save.

  7. Si se le solicite, introduzca confirm y luego seleccione Confirm (Confirmar).

[S3.3] Los buckets de S3 deberían prohibir el acceso de escritura público

Categoría: Proteger - Configuración de red segura

Gravedad: Critical

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-public-write-prohibited

Tipo de programación: programación Periódico y desencadenado por cambios

Parámetros: Ninguno

Este control comprueba si los buckets de S3 permiten el acceso de escritura público. Evalúa la configuración de Block Public Access, la política del bucket y la lista de control de acceso (ACL) del bucket.

Algunos casos de uso requieren que todos en Internet puedan escribir en su bucket S3. Sin embargo, esas situaciones son poco habituales. Para garantizar la integridad y la seguridad de los datos, el bucket de S3 no debe tener acceso de escritura público.

Corrección

Para solucionar este problema, actualice su depósito de S3 para eliminar el acceso público.

Para eliminar el acceso público a un bucket de S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. En el panel de navegación izquierdo, elija Instances (Instancias).

  3. Elija el nombre del bucket de S3 que desee actualizar.

  4. ElegirPermisosy luegoBloquear acceso público.

  5. Elija Edit (Editar).

  6. SelectBloquetodosAcceso público público público. A continuación, elija Save.

  7. Si se le solicite, introduzca confirm y luego seleccione Confirm (Confirmar).

[S3.4] Los buckets de S3 deben tener habilitado el cifrado del lado del servidor

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Gravedad: Media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-server-side-encryption-enabled

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba que el bucket de S3 tenga habilitado el cifrado predeterminado de Amazon S3 o que la política de bucket de S3 deniegue explícitamente las solicitudes put-object sin cifrado en el lado del servidor.

Para obtener una capa adicional de seguridad para la información confidencial en los buckets de S3, debe configurar los buckets con cifrado del lado del servidor para proteger los datos en reposo. Amazon S3 cifra cada objeto con una clave única. Como medida de seguridad adicional, Amazon S3 cifre la propia clave con una clave raíz que rote periódicamente. El cifrado del lado del servidor de Amazon S3 utiliza uno de los cifrados de bloques más seguros disponibles para cifrar sus datos, Advanced Encryption Standard de 256 bits (AES-256).

Para obtener más información, consulteProtección de los datos con el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3)en laGuía del usuario de Amazon.

Corrección

Para solucionar este problema, actualice su depósito de S3 para habilitar el cifrado predeterminado.

Para habilitar el cifrado predeterminado en un bucket de S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. En el panel de navegación izquierdo, elija Instances (Instancias).

  3. Elija el bucket de S3 de la lista.

  4. Seleccione Properties (Propiedades).

  5. Elija Default encryption (Cifrado predeterminado).

  6. Para el cifrado, elijaAES-256oAWS-4 KMS.

    • ElegirAES-256para utilizar las claves administradas por Amazon S3 para el cifrado predeterminado. Para obtener más información sobre el uso del cifrado del lado del servidor de Amazon S3 para cifrar los datos, consulte laGuía del usuario de Amazon.

    • ElegirAWS-4 KMSpara utilizar claves de administradas porAWS KMSpara el cifrado predeterminado. A continuación, seleccione una clave fundamental de la lista deAWS KMSclaves raíz que ha creado.

      Escriba el nombre de recurso de Amazon (ARN) de la clave de AWS KMS que va a usar. Encontrará el ARN de suAWS KMSen la consola de IAM, enClaves. O bien puede elegir un nombre de clave en la lista desplegable.

      importante

      Si utiliza la opción de AWS KMS para configurar el cifrado predeterminado, se le aplicarán las cuotas de RPS (solicitudes por segundo) de AWS KMS. Para obtener más información acerca deAWS KMScuotas y cómo solicitar un aumento de cuotas, consulte laAWS Key Management ServiceGuía para desarrolladores.

      Para obtener más información acerca de cómo crear unAWS KMS, consulte laAWS Key Management ServiceGuía para desarrolladores.

      Para obtener más información sobre el uso deAWS KMScon Amazon S3, consulteGuía del usuario de Amazon.

    Al habilita el cifrado predeterminado, es posible que tenga que actualizar la política de bucket. Para obtener más información sobre cómo pasar de las políticas de bucket al cifrado predeterminado, consulteGuía del usuario de Amazon.

  7. Seleccione Save (Guardar).

Para obtener más información sobre el cifrado predeterminado del bucket de S3, consulte laGuía del usuario de Amazon.

[S3.5] Los buckets de S3 deben requerir solicitudes para utilizar Secure Socket Layer Layer

Categoría: Proteger - Administración segura del acceso

Gravedad: Media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-ssl-requests-only

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba si los buckets de S3 tienen políticas que requieren que las solicitudes utilicen la capa de conexión segura (SSL).

Los depósitos de S3 deben tener políticas que requieran todas las solicitudes (Action: S3:*) para aceptar únicamente la transmisión de datos a través de HTTPS en la política de recursos de S3, indicada por la clave de condiciónaws:SecureTransport.

Corrección

Para solucionar este problema, actualice la política de permisos del depósito de S3.

Para configurar un depósito de S3 para denegar el transporte no seguro

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. Navega hasta el bucket no conforme y, a continuación, elija el nombre del bucket.

  3. Elija Permissions (Permisos) y, a continuación, seleccione Bucket Policy (Política de bucket).

  4. Agregue una declaración de política similar a la de la política que aparece a continuación. Reemplazarawsexamplebucketcon el nombre del bucket que está modificando.

    { "Id": "ExamplePolicy", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSLRequestsOnly", "Action": "s3:*", "Effect": "Deny", "Resource": [ "arn:aws:s3:::awsexamplebucket", "arn:aws:s3:::awsexamplebucket/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" } ] }
  5. Seleccione Save (Guardar).

Para obtener más información, consulte el artículo del centro de conocimiento¿Qué política de bucket de S3 debería usar para cumplir conAWS Configregla s3-bucket-ssl-requests-only?.

[S3.6] Permisos de Amazon S3 concedidos a otrosAWSlas cuentas en las políticas de depósito deben estar restringidas

Categoría: Proteger - Administración de acceso seguro > Acciones de operaciones de API sensibles restringidas

Gravedad: Alta

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-blacklisted-actions-prohibited

Tipo de programación: programación Cambio activado

Parámetros:

  • blacklistedactionpatterns: s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl

Este control comprueba si la política de bucket de S3 impide que los principalesAWSlas cuentas de realizar acciones denegadas en los recursos del bucket de S3. El control falla si la política de bucket de S3 permite alguna de las siguientes acciones para un principal en otroAWScuenta:

  • s3:DeleteBucketPolicy

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutEncryptionConfiguration

  • s3:PutObjectAcl

La implementación del acceso con privilegios mínimos es fundamental para reducir los riesgos de seguridad y el impacto de errores o intenciones maliciosas. Si una política de bucket de S3 permite el acceso desde cuentas externas, podría provocar la exfiltración de datos por parte de una amenaza interna o un atacante.

Lablacklistedactionpatternspermite la evaluación correcta de la regla para los depósitos de S3. El parámetro otorga acceso a cuentas externas para los patrones de acción que no están incluidos en lablacklistedactionpatternslist.

Corrección

Para solucionar este problema, edite la política de bucket de S3 para eliminar los permisos.

Para editar una política de bucket de S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. En el navegadorNombre del bucket, seleccione el nombre del bucket de S3 para el que desea editar la política.

  3. Elija Permissions (Permisos) y, a continuación, seleccione Bucket Policy (Política de bucket).

  4. En el navegadorEditor de políticas de bucket, lleve a cabo una de las siguientes operaciones:

    • Eliminar las instrucciones que otorgan acceso a las acciones denegadas a otrosAWScuentas

    • Eliminar las acciones denegadas permitidas de las declaraciones

  5. Seleccione Save (Guardar).

[S3.8] La configuración de S3 Block Public Access debe habilitarse en el nivel de bucket

Categoría: Proteger - Administración de acceso seguro - Control de acceso

Gravedad: Alta

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-level-public-access-prohibited

Tipo de programación: programación Cambio activado

Parámetros:

  • excludedPublicBuckets(Opcional): una lista separada por comas de nombres de buckets de S3 públicos permitidos y conocidos.

Este control comprueba si los buckets de S3 tienen bloques de acceso público a nivel de bucket aplicados. Este control falla si alguna de las siguientes configuraciones se establece enfalse:

  • ignorePublicAcls

  • blockPublicPolicy

  • blockPublicAcls

  • restrictPublicBuckets

Block Public Access en el nivel del bucket de S3 proporciona controles para garantizar que los objetos nunca tengan acceso público. El acceso público se otorga a grupos y objetos a través de listas de control de acceso (ACL), políticas de bucket o ambas.

A menos que quiera que se pueda acceder públicamente a sus buckets de S3, debe configurar la característica de acceso público de bloques de Amazon S3 de nivel de bucket.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Para obtener información sobre cómo eliminar el acceso público a nivel de depósito, consultaBloquear el acceso público a su almacenamiento de Amazon S3en laGuía del usuario de Amazon S3.

[S3.9] Se debe habilitar el registro de acceso al servidor de bucket S3

Categoría: Identificar - Registro

Gravedad edad: Media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-logging-enabled

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba si el registro de acceso al servidor está habilitado para buckets de S3. Cuando el registro está habilitado, Amazon S3 envía los registros de acceso a un bucket de origen a un bucket de destino elegido. El bucket de destino debe estar en la misma región de AWS que el bucket de origen y no debe tener una configuración de periodo de retención predeterminada. Este control pasa si el registro de acceso al servidor está habilitado. El depósito de registro de destino no necesita tener habilitado el registro de acceso al servidor, y debe suprimir las conclusiones de este depósito.

El registro de acceso al servidor brinda registros detallados de solicitudes realizadas a un bucket. Los registros de acceso al servidor pueden ayudar en auditorías de acceso y seguridad. Para obtener más información, consultePrácticas recomendadas de red para Amazon S3: Habilitación de acceso al servidor de Amazon.

Corrección

Para habilitar el registro de acceso al bucket de S3

  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. Seleccione el bucket de la lista.

  3. Seleccione Properties (Propiedades).

  4. En Server access logging (Registro de acceso al servidor), elija Edit (Editar).

  5. UNDERServer access logging (Registro de acceso del servidor), eligeHabilitar. Luego, eligeGuardar cambios.

[S3.10] Los buckets de S3 con control de versiones habilitado deben tener configuradas políticas de ciclo de vida

Categoría: Identificar - Registro

Gravedad edad: Media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-version-lifecycle-policy-check

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba si los buckets habilitados para la versión de Amazon Simple Storage Service (Amazon S3) tienen configurada la política de ciclo de vida. Esta regla falla si la política de ciclo de vida de Amazon S3 no está habilitada.

Se recomienda configurar las reglas de ciclo de vida en el bucket de Amazon S3, ya que estas reglas le ayudan a definir acciones que desea que realice Amazon S3 durante la vida útil de un objeto.

Corrección

Para obtener más información sobre cómo configurar el ciclo de vida en un bucket de Amazon S3, consulteConfigurar el ciclo de vida de un bucketyAdministración del ciclo de vida del almacenamiento.

[S3.11] Los buckets de S3 deben tener habilitadas las notificaciones de eventos

Categoría: Identificar - Registro

Gravedad edad: Media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-event-notifications-enabled

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba si las notificaciones de eventos de S3 están habilitadas en un bucket de Amazon S3. Este control falla si las notificaciones de eventos de S3 no están habilitadas en un depósito.

Al habilitar las notificaciones de eventos, recibe alertas en sus depósitos de Amazon S3 cuando se producen eventos específicos. Por ejemplo, puede recibir notificaciones sobre la creación, eliminación y restauración de objetos. Estas notificaciones pueden alertar a los equipos pertinentes sobre modificaciones accidentales o intencionales que pueden provocar un acceso no autorizado a los datos.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para obtener información sobre la detección de cambios en los buckets y objetos de S3, consulteNotificaciones de eventos de Amazon S3en laGuía del usuario de Amazon S3.

[S3.12] Las listas de control de acceso (ACL) de S3 no deben utilizarse para administrar el acceso de los usuarios a buckets

Categoría: Proteger - Administración de acceso seguro - Control de acceso

Gravedad edad: Media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-acl-prohibited

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba si los depósitos de Amazon S3 proporcionan permisos de usuario a través de las ACL. El control falla si las ACL están configuradas para administrar el acceso de los usuarios en los buckets de S3.

Las ACL son mecanismos de control de acceso heredados que son anteriores a la IAM. En lugar de las ACL, recomendamos usar políticas de IAM o políticas de bucket de S3 para administrar más fácilmente el acceso a sus buckets de S3.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para obtener más información sobre cómo administrar el acceso a los buckets de S3, consultePolíticas de bucket y de usuarioen laGuía del usuario de Amazon S3. Para obtener información detallada sobre cómo revisar sus permisos de ACL actuales, consulteInformación general de las Listas de control de acceso (ACL)en laGuía del usuario de Amazon S3.

[S3.13] Los buckets de S3 deben tener políticas de ciclo de vida configuradas

Categoría: Proteger > Protección de los datos

Gravedad edad: Baja

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-lifecycle-policy-check

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba si una política de ciclo de vida está configurada para un bucket de Amazon S3. Este control falla si no se configura una política de ciclo de vida para un bucket de S3.

La configuración de las reglas de ciclo de vida en su bucket de S3 define las acciones que desea que S3 realice durante la vida útil de un objeto. Por ejemplo, puede trasladar objetos a otra clase de almacenamiento, archivarlos o eliminarlos después de un periodo de tiempo especificado.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Para obtener información acerca de la configuración de políticas de ciclo de vida en un bucket de Amazon S3Configurar el ciclo de vida de un buckety consulte, seleccionarAdministración del ciclo de vida del almacenamientoen laGuía del usuario de Amazon S3.

[SageMaker.1] SageMaker las instancias de notebook no deben tener acceso directo a Internet

Categoría: Proteger - Configuración de red segura

Gravedad edad: Alta

Tipo de recurso: AWS::SageMaker::NotebookInstance

Regla de AWS Config: sagemaker-notebook-no-direct-internet-access

Tipo de programación: programación Periódico

Parámetros: Ninguno

Este control comprueba si el acceso directo a Internet está deshabilitado para un SageMaker Instancia de bloc Para ello, comprueba si elDirectInternetAccessestá desactivado para la instancia del bloc de notas.

Si configuras tu SageMaker sin una VPC, el acceso directo a Internet está habilitado de forma predeterminada en la instancia. Debe configurar la instancia con una VPC y cambiar la configuración predeterminada aDeshabilitar: acceda a Internet a través de una VPC.

Para entrenar o alojar modelos desde un portátil, necesita acceso a Internet. Para habilitar el acceso a Internet, asegúrese de que su VPC disponga de una gateway NAT y que su grupo de seguridad permita conexiones salientes. Para obtener más información sobre cómo conectar una instancia de notebook a los recursos de una VPC, consulte.Connect una instancia de notebook a los recursos de una VPCen laAmazon SageMaker Guía para desarrolladores.

También debe asegurarse de que el acceso a su SageMaker la configuración está limitada solo a los usuarios autorizados. Restringir los permisos de modificación de IAM SageMaker configuración y recursos.

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • China (Pekín)

  • China (Ningxia)

  • Europa (Milán)

  • AWS GovCloud (EE. UU. Este)

Corrección

Tenga en cuenta que no puede cambiar la configuración de acceso a Internet después de crear una instancia de notebook. Se debe detener, eliminar y volver a crear.

Configuración de un SageMaker instancia de notebook para denegar el acceso directo a Internet

  1. Abra el icono SageMaker Consola de:https://console.aws.amazon.com/sagemaker/

  2. Vaya aInstancias de blo.

  3. Elimina la instancia que tiene habilitado el acceso directo a Internet. Seleccione la instancia, elijaActionsy, a continuación, seleccione detener.

    Una vez que la instancia se haya detenido, seleccioneActionsy,, después,borrar.

  4. Elija Create notebook instance (Crear instancia con cuaderno). Proporcione los detalles de configuración.

  5. Expanda la sección red y, a continuación, seleccione una VPC, una subred y un grupo de seguridad. UNDERAcceso a Internet directo, eligeDeshabilitar: acceda a Internet a través de una VPC.

  6. Elija Create notebook instance (Crear instancia con cuaderno).

Para obtener más información, consulteConnect una instancia de notebook a los recursos de una VPCen laAmazon SageMaker Guía para desarrolladores.

[SecretsManager.1] Los secretos de Secrets Manager deben tener habilitada la rotación automática

Categoría: Desarrollo seguro

Gravedad edad: Media

Tipo de recurso: AWS::SecretsManager::Secret

Regla de AWS Config: secretsmanager-rotation-enabled-check

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control de comprueba si un secreto almacenado enAWS Secrets Managerestá configurado con rotación automática.

Secrets Manager lo ayuda a mejorar la postura de seguridad de su organización. Los secretos incluyen credenciales de base de datos, contraseñas y claves de API de terceros. Puede usar Secrets Manager para almacenar secretos de forma centralizada, cifrar secretos automáticamente, controlar el acceso a los secretos y rotar secretos de forma segura y automática.

Secrets Manager puede rotar secretos. Puede utilizar la rotación para reemplazar secretos a largo plazo con secretos a corto plazo. La rotación de tus secretos limita el tiempo que un usuario no autorizado puede usar un secreto comprometido. Por este motivo, debe rotar sus secretos con frecuencia. Para obtener más información sobre la rotación, consulteRotación de suAWS Secrets Managersecretosen laAWS Secrets ManagerGuía del usuario de.

Corrección

Para solucionar este problema, habilite la rotación automática de sus secretos.

Para habilitar la rotación automática de secretos

  1. Abra la consola de Secrets Manager enhttps://console.aws.amazon.com/secretsmanager/.

  2. Para encontrar el secreto que requiere rotación, introduzca el nombre secreto en el campo de búsqueda.

  3. Elige el secreto que deseas rotar, que mostrará la página de detalles de secretos.

  4. UNDERConfiguración de rotación, eligeEditar rotation.

  5. DesdeEditar la configuración de rotación, eligeHabilitar la rotación automática.

  6. ParaSeleccionar intervalo de rotación, seleccione un intervalo de rotación.

  7. Elija una función Lambda para la rotación. Para obtener información sobre cómo personalizar la función de rotación de Lambda, consulteComprender y personalizar su función de rotación de Lambdaen laAWS Secrets ManagerGuía del usuario de.

  8. Para configurar el secreto para la rotación, seleccionePróximo.

Para obtener más información sobre la rotación de Secrets Manager, consulteRotación de suAWS Secrets Managersecretosen laAWS Secrets ManagerGuía del usuario de.

[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente

Categoría: Desarrollo seguro

Gravedad edad: Media

Tipo de recurso: AWS::SecretsManager::Secret

Regla de AWS Config: secretsmanager-scheduled-rotation-success-check

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba si unAWS Secrets Managersecret rotó correctamente según el programa de rotación. El control falla siRotationOccurringAsScheduledesfalse. El control no evalúa los secretos que no tienen configurada la rotación.

Secrets Manager lo ayuda a mejorar la postura de seguridad de su organización. Los secretos incluyen credenciales de base de datos, contraseñas y claves de API de terceros. Puede usar Secrets Manager para almacenar secretos de forma centralizada, cifrar secretos automáticamente, controlar el acceso a los secretos y rotar secretos de forma segura y automática.

Secrets Manager puede rotar secretos. Puede utilizar la rotación para reemplazar secretos a largo plazo con secretos a corto plazo. La rotación de tus secretos limita el tiempo que un usuario no autorizado puede usar un secreto comprometido. Por este motivo, debe rotar sus secretos con frecuencia.

Además de configurar los secretos para que roten automáticamente, debe asegurarse de que esos secretos roten correctamente en función del programa de rotación.

Para obtener más información sobre la rotación, consulteRotación de suAWS Secrets Managersecretosen laAWS Secrets ManagerGuía del usuario de.

Corrección

Si se produce un error en la rotación automática, es posible que Secrets Manager haya encontrado errores en la configuración.

Para rotar secretos en Secrets Manager, utilice una función de Lambda que defina cómo interactuar con la base de datos o el servicio que posee el secreto.

Para obtener ayuda sobre cómo diagnosticar y corregir errores comunes relacionados con la rotación de secretos, consultaSolución de problemasAWS Secrets Managerrotación de secretosen laAWS Secrets ManagerGuía del usuario de.

[SecretsManager.3] Eliminar secretos de Secrets Manager no utilizados

Categoría: Proteger - Administración segura del acceso

Gravedad edad: Media

Tipo de recurso: AWS::SecretsManager::Secret

Regla de AWS Config: secretsmanager-secret-unused

Tipo de programación: programación Periódico

Parámetros: Ninguno

Este control comprueba si se ha accedido a sus secretos en un determinado número de días. El valor predeterminado es 90 días. Si no se ha accedido a un secreto dentro del número de días definido, se produce un error en este control.

Eliminar los secretos no utilizados es tan importante como rotar los secretos. Los antiguos usuarios pueden abusar de los secretos no utilizados, que ya no necesitan acceso a estos secretos. Además, a medida que hay más usuarios que acceden a un secreto, es posible que alguien haya cometido un error y lo haya filtrado a una entidad no autorizada, lo que aumenta el riesgo de abuso. Eliminar secretos no utilizados ayuda a revocar el acceso secreto a los usuarios que ya no lo necesitan. También ayuda a reducir el costo de uso de Secrets Manager. Por lo tanto, es esencial eliminar de forma rutinaria los secretos no utilizados.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Puede eliminar secretos inactivos desde la consola Secrets Manager.

Para eliminar secretos inactivos

  1. Abra la consola de Secrets Manager enhttps://console.aws.amazon.com/secretsmanager/.

  2. Para buscar el secreto, escriba el nombre del secreto en el cuadro de búsqueda.

  3. Elija el secreto que desea eliminar.

  4. UNDERDetalles secretos,,, deActions, eligeEliminar secreto.

  5. UNDERProgramar el borrado, escriba el número de días que debe esperar hasta que se elimine el secreto.

  6. Elija Schedule deletion.

[SecretsManager.4] Los secretos de Secrets Manager deben rotarse dentro de un número específico de días

Categoría: Proteger - Administración segura del acceso

Gravedad edad: Media

Tipo de recurso: AWS::SecretsManager::Secret

Regla de AWS Config: secretsmanager-secret-periodic-rotation

Tipo de programación: programación Periódico

Parámetros:

  • Período de rotación90 días de forma predeterminada

Este control comprueba si los secretos se han rotado al menos una vez en un plazo de 90 días.

Rotar secretos puede ayudarlo a reducir el riesgo de un uso no autorizado de sus secretos en suAWSaccount. Algunos ejemplos son credenciales de base de datos, contraseñas, claves de API de terceros e incluso texto arbitrario. Si no cambia sus secretos durante un largo período de tiempo, los secretos se vuelven más propensos a ser comprometidos.

Ya que hay más usuarios que acceden a un secreto, es más probable que alguien haya cometido un error y lo haya filtrado a una entidad no autorizada. Los secretos se pueden filtrar a través de registros y datos de caché. Pueden compartirse con fines de depuración y no pueden cambiarse ni revocarse una vez que se complete la depuración. Por todas estas razones, los secretos deben rotarse con frecuencia.

Puedes configurar tus secretos para la rotación automática enAWS Secrets Manager. Con la rotación automática, puede reemplazar secretos a largo plazo con secretos a corto plazo, reduciendo significativamente el riesgo de peligro.

Security Hub recomienda que habilite la rotación de los secretos de Secrets Manager. Para obtener más información sobre la rotación, consulteRotación de suAWS Secrets Managersecretosen laAWS Secrets ManagerGuía del usuario de.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Puedes habilitar la rotación automática de secretos en la consola de Secrets Manager.

Para habilitar la rotación de secretos

  1. Abra la consola de Secrets Manager enhttps://console.aws.amazon.com/secretsmanager/.

  2. Para buscar el secreto, escriba el nombre del secreto en el cuadro de búsqueda.

  3. Elija el secreto que desea mostrar.

  4. UNDERConfiguración de rotación, eligeEditar rotation.

  5. DesdeEditar la configuración de rotación, eligeHabilitar la rotación automática.

  6. DesdeSeleccionar intervalo de rotación, seleccione el intervalo de rotación.

  7. Elija una función de Lambda para utilizarla en la rotación.

  8. Elija Next (Siguiente).

  9. Después de configurar el secreto para la rotación automática, enConfiguración de rotación, eligeRotar el secreto inmediatamente.

[SNS.1] Los temas de SNS se deben cifrar en reposo medianteAWS KMS

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Gravedad edad: Media

Tipo de recurso: AWS::SNS::Topic

Regla de AWS Config: sns-encrypted-kms

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba si un tema de SNS está cifrado en reposo medianteAWS KMS.

El cifrado de datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el discoAWS. También agrega otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para descifrar los datos antes de que se puedan leer. Los temas de SNS deben cifrarse en reposo para obtener una capa adicional de seguridad. Para obtener más información, consulteCifrado en reposoen laGuía para desarrolladores Amazon Simple Notification Service.

Corrección

Para solucionar este problema, actualice el tema de SNS para habilitar el cifrado.

Para cifrar un tema de SNS sin cifrar

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. En el panel de navegación, elija Topics (Temas).

  3. Seleccione el nombre del tema que desea cifrar.

  4. Elija Edit (Editar).

  5. UNDERCriptografía, eligeEnable Encryption.

  6. Elija la clave de KMS que quiera usar para cifrar el tema.

  7. Elija Save changes (Guardar cambios).

[SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

Categoría: Identificar - Registro

Gravedad edad: Media

Tipo de recurso: AWS::SNS::Topic

Regla de AWS Config: sns-topic-message-delivery-notification-enabled

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba si el registro de está habilitado para el estado de entrega de los mensajes de notificación enviados a un tema de Amazon SNS para los puntos de enlace. Este control falla si la notificación del estado de entrega de los mensajes no está habilitada.

El registro es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el desempeño de los servicios de. El log del estado de entrega de los mensajes proporciona información operativa, como la siguiente:

  • Saber si un mensaje se ha entregado al punto de enlace de Amazon SNS.

  • Identificar la respuesta enviada desde el punto de enlace de Amazon SNS a Amazon SNS.

  • Determinar el tiempo de permanencia del mensaje (el tiempo entre la marca de tiempo de publicación y la entrega a un punto de enlace de Amazon SNS).

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para configurar el registro del estado de entrega de un tema, consulteEstado de entrega de mensajes de Amazon SNSen laGuía para desarrolladores Amazon Simple Notification Service.

[SQS.1] Las colas de Amazon SQS deben cifrarse en reposo

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Gravedad edad: Media

Tipo de recurso: AWS::SQS::Queue

Regla de AWS Config: sqs-queue-encrypted (Regla personalizada desarrollada por Security Hub)

Tipo de programación: programación Cambio activado

Parámetros: Ninguno

Este control comprueba si las colas de Amazon SQS están cifradas en reposo. El control pasa si usa una clave administrada de Amazon SQS (SSE-SQS) o unaAWS Key Management Service(AWS KMS) Clave de KMS).

El cifrado del lado del servidor (SSE) le permite transferir información confidencial en colas cifradas. Para proteger el contenido de los mensajes en las colas, SSE utiliza claves de KMS. Para obtener más información, consulteCifrado en reposoen laAmazon Simple Queue Service Guía para desarrolladores.

Corrección

Para obtener información sobre la administración de SSE mediante laAWS Management Console, consulteConfiguración del cifrado del lado del servidor (SSE) para una cola (consola)en laAmazon Simple Queue Service Guía para desarrolladores.

[SSM.1] Las instancias EC2 deben ser administradas porAWS Systems Manager

Categoría: Identificar - Inventario

Gravedad edad: Media

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config: ec2-instance-managed-by-systems-manager

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si las instancias EC2 detenidas y en ejecución de su cuenta se administran medianteAWS Systems Manager. Systems Manager es unAWSque puede utilizar para ver y controlar suAWSinfraestructura

Para ayudarle a mantener la seguridad y la conformidad, Systems Manager analiza las instancias administradas que están detenidas y en ejecución. Una instancia administrada es una máquina que está configurada para usarla con Systems Manager. A continuación, Systems Manager informa o toma medidas correctivas sobre cualquier infracción de política que detecte. Systems Manager también lo ayuda a configurar y mantener sus instancias administradas.

Para obtener más información, consulteAWS Systems ManagerGuía del usuario de.

Corrección

Puede utilizar la consola de Systems Manager para solucionar este problema.

Para garantizar que las instancias EC2 estén administradas por Systems Manager

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el menú de navegación, en, seleccioneInstalación rápida.

  3. Seleccione Create (Crear).

  4. UNDERTipo de configuración, eligeAdministración de hostsy,, después,Próximo.

  5. En la pantalla de configuración, puede mantener las opciones predeterminadas.

    Si lo desea, puede hacer los siguientes cambios:

    1. Si usa CloudWatch para supervisar las instancias de EC2, seleccioneInstalación y configuración de CloudWatch agenteyActualizar el CloudWatch agente una vez cada 30 días.

    2. UNDERimplementación, elija el ámbito de administración para determinar las cuentas y las regiones en las que se aplica esta configuración.

    3. UNDEROpciones de perfil de instanciaseleccionar seleccionar seleccionar seleccionarAgregue las políticas de IAM necesarias a los perfiles de instancias existentes adjuntos a sus instancias.

  6. Seleccione Create (Crear).

Para determinar si las instancias admiten asociaciones de Systems Manager, consulte.Requisitos previos de Systems Manageren laAWS Systems ManagerGuía del usuario de.

[SSM.2] Todas las instancias EC2 administradas por Systems Manager deben cumplir los requisitos de aplicación de parches

Categoría: Detectar - Servicios de detección

Gravedad edad: Alta

Tipo de recurso: AWS::SSM::PatchCompliance

Regla de AWS Config: ec2-managedinstance-patch-compliance-status-check

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si el estado de la conformidad de parches de Amazon EC2 Systems Manager esCOMPLIANToNON_COMPLIANTtras la instalación del parche en la instancia. Solo comprueba las instancias administradas por el Administrador de parches de Systems Manager.

Tener las instancias EC2 con parches según lo especificado por su organización reduce la superficie de ataque de sus cuentas de AWS.

nota

Este control no se admite en las siguientes regiones:

  • África (Ciudad del Cabo)

  • Europe (Milan)

  • Middle East (Bahrain)

Corrección

Para solucionar este problema, instala los parches necesarios en las instancias no conformes.

Para solucionar parches no conformes

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. UNDERNode Management, eligeRun Commandy luegoRun Command.

  3. Seleccione el botón situado junto aAWS-RunPatchBaseline.

  4. Cambie la Operation (Operación) a Install (Instalar).

  5. Seleccione Choose instances manually (Elegir las instancias manualmente) y, a continuación, elija las instancias no conformes.

  6. En la parte inferior de la página, elija Run (Ejecutar).

  7. Una vez completado el comando, para monitorear el nuevo estado de conformidad de las instancias con parches, elija Compliance (Conformidad) en el panel de navegación.

Para obtener más información sobre el uso de documentos de Systems Manager para aplicar parches en una instancia administrada, consulteAcerca de documentos de SSM para aplicar parches a las instanciasyEjecución de comandos con Run de Systems Manageren laAWS Systems ManagerGuía del usuario de.

[SSM.3] Las instancias administradas por Systems Manager deben tener un estado de cumplimiento de asociación deCOMPLIANT

Categoría: Detectar - Servicios de detección

Gravedad edad: Baja

Tipo de recurso: AWS::SSM::AssociationCompliance

Regla de AWS Config: ec2-managedinstance-association-compliance-status-check

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si el estado del componente deAWS Systems Managerel cumplimiento de las asociacionesCOMPLIANToNON_COMPLIANTdespués de ejecutar la asociación en una instancia. El control pasa si el estado de cumplimiento de la asociación esCOMPLIANT.

Una asociación de State Manager es una configuración que se asigna a las instancias administradas. La configuración define el estado que desea mantener en las instancias. Por ejemplo, una asociación puede especificar que el software antivirus debe estar instalado y ejecutándose en las instancias, o bien que determinados puertos deben estar cerrados.

Después de crear una o varias asociaciones de administradores estatales, la información sobre el estado de la conformidad estará disponible inmediatamente. Puede ver el estado de cumplimiento en la consola o en respuesta aAWS CLIcomandos o las acciones correspondientes de la API de Systems Manager. Para las asociaciones, Configuration Compliance muestra el estado de cumplimiento (CompliantoNon-compliant). También muestra el nivel de gravedad asignado a la asociación, comoCriticaloMedium.

Para obtener más información sobre el cumplimiento de la asociación de gerentes estatales, consulteAcerca del cumplimiento de asociaciones de State Manageren laAWS Systems ManagerGuía del usuario de.

nota

Este control no se admite en África (Ciudad del Cabo) o Europa (Milán).

Corrección

Una asociación fallida puede estar relacionada con diferentes cosas, incluidos destinos y nombres de documentos SSM. Para solucionar este problema, primero debe identificar e investigar la asociación. A continuación, puede actualizar la asociación para corregir el problema específico.

Puede editar una asociación para especificar un nuevo nombre, la programación, el nivel de gravedad o los destinos. Después de editar una asociación, AWS Systems Manager crea una nueva versión.

Para investigar y actualizar una asociación fallida

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, en, enNode Management, eligeFleet Manager.

  3. Elija el ID de instancia que tenga unEstado de la asociacióndeFailed (Error).

  4. Elija View details (Ver detalles).

  5. ElegirAssociations.

  6. Anote el nombre de la asociación que tiene un componente deEstado de la asociacióndeFailed (Error). Esta es la asociación que tienes que investigar. Debe usar el nombre de la asociación en el paso siguiente.

  7. En el panel de navegación, en, enNode Management, eligeState Manager. Busque el nombre de la asociación y, a continuación, seleccione la asociación.

  8. Después de determinar el problema, modifique la asociación fallida para corregirlo. Para obtener información sobre cómo editar una asociación, consulteEditar una asociación.

Para obtener más información sobre la creación y edición de asociaciones de State Manager, consulte.Trabajo con asociaciones en Systems Manageren laAWS Systems ManagerGuía del usuario de.

[SSM.4] Los documentos del MUS no deben ser públicos

Categoría: Proteger - Configuración de red segura - Recursos no accesibles públicamente

Gravedad edad: Critical

Tipo de recurso: AWS::SSM::Document

Regla de AWS Config: ssm-document-not-public

Type: Schedule Periódico

Parámetros: Ninguno

Este control comprueba siAWS Systems Managerlos documentos que son propiedad de la cuenta de son públicos. Este control falla si SSM documenta con el propietarioSelfson públicos.

Los documentos de SSM que son públicos pueden permitir el acceso involuntario a sus documentos. Un documento de SSM público puede exponer información valiosa sobre su cuenta, sus recursos y sus procesos internos.

A menos que su caso de uso requiera que el uso compartido público esté habilitado, Security Hub recomienda que active la configuración de bloqueo de uso compartido público para los documentos de Systems Manager que son propiedad deSelf.

nota

Este control no se admite en las siguientes regiones:

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para obtener más información sobre cómo deshabilitar el acceso público a los documentos de SSM, consulteModificar los permisos para un documento de SSM compartidoyPrácticas recomendadas para documentos de SSM compartidosen laAWS Systems ManagerGuía del usuario de.

[WAF.1]AWS WAFDebe habilitarse el registro de ACL web global clásico

Categoría: Identificar - Registro

Gravedad edad: Media

Tipo de recurso: AWS::WAF::WebACL

Regla de AWS Config: waf-classic-logging-enabled

Type: Schedule Periódico

Parámetros: Ninguno

Este control comprueba si el registro está habilitado para unAWS WAFACL web global. Este control falla si el registro no está habilitado para la ACL web.

El log es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el desempeño deAWS WAFglobalmente. Es un requisito empresarial y de cumplimiento en muchas organizaciones, y le permite solucionar problemas de comportamiento de las aplicaciones. También proporciona información detallada sobre el tráfico que analiza la ACL web que está conectada aAWS WAF.

nota

Este control no se admite en las siguientes regiones:

  • Este de EE. UU. (Ohio)

  • Oeste de EE. UU. (Norte de California)

  • EE.UU. Oeste (Oregón)

  • Africa (Cape Town)

  • Asia Pacific (Hong Kong)

  • Asia Pacific (Mumbai)

  • Asia Pacific (Osaka)

  • Asia Pacific (Seoul)

  • Asia Pacífico (Singapur)

  • Asia Pacífico (Sídney)

  • Asia Pacífico (Tokio)

  • Canadá (centro)

  • China (Pekín)

  • China (Ningxia)

  • Europa (Fráncfort)

  • Europa (Irlanda)

  • Europa (Londres)

  • Europa (Milán)

  • Europe (Paris)

  • Europe (Stockholm)

  • Middle East (Bahrain)

  • América del Sur (São Paulo)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Puede habilitar el registro para una ACL web desde la consola de Kinesis Data Firehose.

Para habilitar el registro para una ACL web

  1. Abra la consola de Kinesis Data Firehose enhttps://console.aws.amazon.com/firehose/.

  2. Cree un flujo de entrega de Kinesis Data Firehose.

    El nombre debe comenzar con el prefijoaws-waf-logs-. Por ejemplo, aws-waf-logs-us-east-2-analytics.

    Cree un flujo de entrega de Kinesis Data Firehose con unPUTorigen y en la región de donde opera. Si capturas registros para Amazon CloudFront, cree la transmisión de entrega en EE. UU. Este (Norte de Virginia). Para obtener más información, consulteUn flujo de entrega de Amazon Kinesis Data Firehose.en laGuía para desarrolladores de Amazon Kinesis Data Firehose.

  3. DesdeServicios, eligeWAF y Shield. Luego eligeCambio aAWS WAFClásico.

  4. DesdeFiltro, eligeGlobal (Configuración deCloudFront).

  5. Seleccione la ACL web para la que desea habilitar el registro.

  6. UNDERRegistro de, eligeEnable logging (Habilitar el registro).

  7. Elija la transmisión de entrega de Kinesis Data Firehose que creó anteriormente. Debe elegir un flujo de entrega que tiene un nombre que comience poraws-waf-logs-.

  8. Elija Enable logging (Habilitar el registro).

[WAF.2] Una regla regional de WAF debe tener al menos una condición

Categoría: Proteger - Configuración de red segura

Gravedad edad: Media

Tipo de recurso: AWS::WAFRegional::Rule

Regla de AWS Config: waf-regional-rule-not-empty

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si unAWS WAFLa regla regional tiene al menos una condición. El control falla si no hay condiciones presentes en una regla.

Una regla regional de WAF puede contener varias condiciones. Las condiciones de la regla permiten la inspección del tráfico y toman una acción definida (permitir, bloquear o contar). Sin ninguna condición, el tráfico pasa sin inspección. Una regla regional de WAF sin condiciones, pero con un nombre o una etiqueta que sugiera permitir, bloquear o contar, podría dar lugar a la suposición errónea de que se está produciendo una de esas acciones.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Para añadir una condición a una regla vacía, consulteAgregar y eliminar condiciones en una reglaen laAWS WAFGuía para desarrolladores.

[WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

Categoría: Proteger - Configuración de red segura

Gravedad edad: Media

Tipo de recurso: AWS::WAFRegional::RuleGroup

Regla de AWS Config: waf-regional-rulegroup-not-empty

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si unAWS WAFEl grupo de reglas regional tiene al menos una regla. El control falla si no hay reglas presentes en un grupo de reglas.

Un grupo de reglas regional de WAF puede contener varias reglas. Las condiciones de la regla permiten la inspección del tráfico y toman una acción definida (permitir, bloquear o contar). Sin reglas, el tráfico pasa sin inspección. Un grupo de reglas regional de WAF sin reglas, pero con un nombre o una etiqueta que sugiera permitir, bloquear o contar, podría dar lugar a la suposición errónea de que se está produciendo una de esas acciones.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • Asia-Pacífico (Osaka)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste)

Corrección

Para añadir reglas y condiciones de reglas a un grupo de reglas vacío, consulteAgregar y eliminar reglas de unAWS WAFGrupo de reglas clásicoyAgregar y eliminar condiciones en una reglaen laAWS WAFGuía para desarrolladores.

[WAF.4] Una ACL web regional clásica de WAF debe tener al menos una regla o grupo de reglas

Categoría: Proteger - Configuración de red segura

Gravedad edad: Media

Tipo de recurso: AWS::WAFRegional::WebACL

Regla de AWS Config: waf-regional-webacl-not-empty

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si unAWS WAF Classic RegionalLa ACL web contiene reglas WAF o grupos de reglas WAF. Este control falla si una ACL web no contiene ninguna regla o grupo de reglas WAF.

Las ACL web regionales de WAF pueden contener una colección de reglas y grupos de reglas que inspeccionan y controlan las solicitudes web. Si una ACL web está vacía, el tráfico web puede pasar sin que WAF lo detecte ni actúe sobre él, según la acción predeterminada.

nota

Este control no se admite en las siguientes regiones:

  • Asia-Pacífico (Yakarta)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (US-West)

Corrección

Para agregar reglas o grupos de reglas a una ACL web vacía

  1. Abra el iconoAWS WAFConsola de:https://console.aws.amazon.com/wafv2/.

  2. En el panel de navegación, en, seleccioneCambio aAWS WAFClásicoy luegoACL de web.

  3. ParaFiltro, elija la región en la que se encuentra la ACL web vacía.

  4. Elegir el nombre de la ACL web vacía.

  5. ElegirReglasy luegoEdit web ACL.

  6. ParaReglas, seleccione una regla o un grupo de reglas y, a continuación, elijaAgregar regla a la ACL web.

  7. En este punto, puede modificar el orden de las reglas dentro de la ACL web si va a agregar varias reglas o grupos de reglas a la ACL web.

  8. Elija Update (Actualizar).

[WAF.6] Una regla global del WAF debe tener al menos una condición

Categoría: Proteger - Configuración de red segura

Gravedad edad: Media

Tipo de recurso: AWS::WAF::Rule

Regla de AWS Config: waf-global-rule-not-empty

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si unAWS WAFla regla global contiene cualquier condición. El control falla si no hay condiciones presentes en una regla.

Una regla global de WAF puede contener varias condiciones. Las condiciones de una regla permiten la inspección del tráfico y toman una acción definida (permitir, bloquear o contar). Sin ninguna condición, el tráfico pasa sin inspección. Una regla global WAF sin condiciones, pero con un nombre o una etiqueta que sugiera permitir, bloquear o contar, podría dar lugar a la suposición errónea de que se está produciendo una de esas acciones.

nota

Este (Norte de Virginia).

Corrección

Para obtener instrucciones sobre cómo crear una regla y agregar condiciones, consulteCrear una regla y agregar condicionesen laAWS WAFGuía para desarrolladores.

[WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

Categoría: Proteger - Configuración de red segura

Gravedad edad: Media

Tipo de recurso: AWS::WAF::RuleGroup

Regla de AWS Config: waf-global-rulegroup-not-empty

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si unAWS WAFel grupo de reglas global tiene al menos una regla. El control falla si no hay reglas presentes en un grupo de reglas.

Un grupo de reglas globales de WAF puede contener varias reglas. Las condiciones de la regla permiten la inspección del tráfico y toman una acción definida (permitir, bloquear o contar). Sin reglas, el tráfico pasa sin inspección. Un grupo de reglas globales de WAF sin reglas, pero con un nombre o una etiqueta que sugiera permitir, bloquear o contar, podría dar lugar a la suposición errónea de que se está produciendo una de esas acciones.

nota

Este (Norte de Virginia).

Corrección

Para obtener instrucciones sobre cómo agregar una regla a un grupo de reglas, consulteCreación de unAWS WAFGrupo de reglas clásicoen laAWS WAFGuía para desarrolladores.

[WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Categoría: Proteger - Configuración de red segura

Gravedad edad: Media

Tipo de recurso: AWS::WAF::WebACL

Regla de AWS Config: waf-global-webacl-not-empty

Type: Schedule Cambio activado

Parámetros: Ninguno

Este control comprueba si unAWS WAFLa ACL web global contiene al menos una regla WAF o un grupo de reglas WAF. El control falla si una ACL web no contiene ninguna regla o grupo de reglas WAF.

Las ACL web globales de WAF pueden contener una colección de reglas y grupos de reglas que inspeccionan y controlan las solicitudes web. Si una ACL web está vacía, el tráfico web puede pasar sin que WAF lo detecte ni actúe sobre él, según la acción predeterminada.

nota

Este control solo se admite en EE. UU. Este (Norte de Virginia).

Corrección

Para agregar reglas o grupos de reglas a una ACL web vacía

  1. Abra el iconoAWS WAFConsola de:https://console.aws.amazon.com/wafv2/.

  2. En el panel de navegación, en, seleccioneCambio aAWS WAFClásicoy luegoACL de web.

  3. ParaFiltro, eligeGlobal (Configuración deCloudFront).

  4. Elegir el nombre de la ACL web vacía.

  5. ElegirReglasy luegoEdit web ACL.

  6. ParaReglas, seleccione una regla o un grupo de reglas y, a continuación, elijaAgregar regla a la ACL web.

  7. En este punto, puede modificar el orden de las reglas dentro de la ACL web si va a agregar varias reglas o grupos de reglas a la ACL web.

  8. Elija Update (Actualizar).