Controles de Amazon Simple Notification Service - AWS Security Hub
[SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS[SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Amazon Simple Notification Service

Estos controles están relacionados con los recursos de Amazon SNS.

Es posible que estos controles no estén disponibles en todosRegiones de AWS. Para obtener más información, consulte Disponibilidad de controles por región.

[SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS

Requisitos relacionados: NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Gravedad: media

Tipo de recurso: AWS::SNS::Topic

Regla de AWS Config: sns-encrypted-kms

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si un tema de SNS está cifrado en reposo medianteAWS KMS. Los controles fallan si un tema de SNS no usa una clave de KMS para el cifrado del lado del servidor (SSE).

El cifrado de datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. AWS También añade otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para descifrar los datos antes de que puedan leerse. Los temas de SNS deben cifrarse en reposo para añadir una capa de seguridad adicional.

Corrección

Para activar el SSE en un tema de SNS, consulte Habilitar el cifrado del lado del servidor (SSE) para un tema de Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Antes de poder usar SSE, también debe configurar AWS KMS key políticas que permitan el cifrado de temas y el cifrado y descifrado de los mensajes. Para obtener más información, consulte Configuración de AWS KMS permisos en la Guía para desarrolladores de Amazon Simple Notification Service.

[SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

Requisitos relacionados: NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-2

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::SNS::Topic

Regla de AWS Config: sns-topic-message-delivery-notification-enabled

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si el registro está habilitado para el estado de entrega de los mensajes de notificación enviados a un tema de Amazon SNS para los endpoints. Este control falla si la notificación de estado de entrega de los mensajes no está habilitada.

El registro es una parte importante del mantenimiento de la confiabilidad, la disponibilidad y el rendimiento de los servicios. Registrar el estado de entrega de los mensajes ayuda a proporcionar información operativa, como la siguiente:

  • Saber si un mensaje se ha entregado al punto de enlace de Amazon SNS.

  • Identificar la respuesta enviada desde el punto de enlace de Amazon SNS a Amazon SNS.

  • Determinar el tiempo de permanencia del mensaje (el tiempo transcurrido entre la fecha de publicación y la transferencia a un punto final de Amazon SNS).

Corrección

Para configurar el registro del estado de entrega para un tema, consulte el estado de entrega de los mensajes de Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.