Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Amazon Simple Notification Service
Estos controles están relacionados con los recursos de Amazon SNS.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS
importante
Security Hub eliminará este control del estándar AWS Foundational Security Best Practices en marzo de 2024, pero seguirá incluyéndose en el estándar NIST SP 800-53 Rev. 5. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
Categoría: Proteger - Protección de datos - Cifrado de datos en reposo
Gravedad: media
Tipo de recurso: AWS::SNS::Topic
Regla de AWS Config : sns-encrypted-kms
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un tema de Amazon SNS está cifrado en reposo mediante claves administradas en AWS Key Management Service ()AWS KMS. Los controles fallan si el tema de SNS no usa una clave KMS para el cifrado del lado del servidor (SSE). De forma predeterminada, SNS almacena los mensajes y archivos mediante el cifrado de disco. Para pasar este control, debe optar por utilizar una clave KMS para el cifrado. Esto añade una capa de seguridad adicional y proporciona una mayor flexibilidad de control de acceso.
El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. AWS Se requieren permisos de API para descifrar los datos antes de que puedan leerse. Recomendamos cifrar los temas de SNS con claves KMS para añadir un nivel de seguridad adicional.
Corrección
Para habilitar el SSE para un tema de SNS, consulte el tema Habilitar el cifrado del lado del servidor (SSE) para un Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Antes de poder utilizar el SSE, también debe configurar AWS KMS key políticas que permitan el cifrado de temas y el cifrado y descifrado de mensajes. Para obtener más información, consulte Configuración de AWS KMS permisos en la Guía para desarrolladores de Amazon Simple Notification Service.
Debe habilitarse el registro del estado de la entrega [SNS.2] para los mensajes de notificación enviados a un tema
importante
Security Hub eliminará este control en marzo de 2024. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::SNS::Topic
Regla de AWS Config : sns-topic-message-delivery-notification-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el registro está habilitado para el estado de entrega de los mensajes de notificación enviados a un tema de Amazon SNS para los puntos de conexión. Este control falla si la notificación del estado de entrega de los mensajes no está habilitada.
El registro es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de los servicios. El registro del estado de entrega de los mensajes aporta información operativa, como la siguiente:
Saber si un mensaje se ha entregado al punto de enlace de Amazon SNS.
Identificar la respuesta enviada desde el punto de enlace de Amazon SNS a Amazon SNS.
Determinar el tiempo de permanencia del mensaje (el tiempo entre la marca de tiempo de publicación y la entrega a un punto de conexión de Amazon SNS).
Corrección
Para configurar el registro del estado de entrega de un tema, consulte el Estado de entrega de los mensajes de Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.
