Controles do Security Hub para Elastic Load Balancing - AWS Security Hub
[ELB.1] O Application Load Balancer deve ser configurado para HTTP redirecionar todas as solicitações para HTTPS[ELB.2] Os balanceadores de carga clássicos com HTTPS ouvintesSSL/devem usar um certificado fornecido por AWS Certificate Manager[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com ou terminação HTTPS TLS[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http[ELB.5] O registro de aplicativos e balanceadores de carga clássicos deve estar ativado[ELB.6] Os balanceadores de carga de aplicativos, gateways e redes devem ter a proteção contra exclusão ativada[ELB.7] Os balanceadores de carga clássicos devem ter a drenagem de conexão ativada[ELB.8] Os balanceadores de carga clássicos com SSL ouvintes devem usar uma política de segurança predefinida que seja forte AWS Config duração[ELB.9] Os balanceadores de carga clássicos devem ter o balanceamento de carga entre zonas ativado[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade[ELB.12] O Application Load Balancer deve ser configurado com o modo de mitigação de dessincronização defensivo ou mais rigoroso[ELB.13] Os balanceadores de carga de aplicativos, redes e gateways devem abranger várias zonas de disponibilidade[ELB.14] O Classic Load Balancer deve ser configurado com o modo de mitigação de dessincronização defensivo ou mais rigoroso[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a um AWS WAF web ACL

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para Elastic Load Balancing

Esses AWS Security Hub os controles avaliam o serviço e os recursos do Elastic Load Balancing.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.

[ELB.1] O Application Load Balancer deve ser configurado para HTTP redirecionar todas as solicitações para HTTPS

Requisitos relacionados: PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (1), ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8 .800-53.r5 NIST.800-53.r5 SC-8 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-2 NIST

Categoria: Detectar > Serviços de detecção

Severidade: média

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config regra: alb-http-to-https-redirection-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se HTTP o HTTPS redirecionamento está configurado em todos os HTTP ouvintes dos Application Load Balancers. O controle falhará se algum dos HTTP ouvintes do Application Load Balancers não precisar HTTP configurar o HTTPS redirecionamento.

Antes de começar a usar seu Application Load Balancer, você deve adicionar ao menos um receptor. Um listener é um processo que usa o protocolo e a porta configurados para verificar solicitações de conexão. Os ouvintes oferecem suporte aos HTTPS protocolos HTTP e. Você pode usar um HTTPS ouvinte para transferir o trabalho de criptografia e decodificação para seu balanceador de carga. Para impor a criptografia em trânsito, você deve usar ações de redirecionamento com Application Load Balancers para redirecionar as HTTP solicitações do cliente para uma HTTPS solicitação na porta 443.

Para saber mais, consulte Receptores para seus Application Load Balancers no Guia do usuário dos Application Load Balancers.

Correção

Para redirecionar HTTP solicitações paraHTTPS, você deve adicionar uma regra de ouvinte do Application Load Balancer ou editar uma regra existente.

Para obter instruções sobre como adicionar uma nova regra, consulte Adicionar uma regra no Guia do usuário dos Application Load Balancers. Para Protocolo: Porta, escolha e HTTP, em seguida, insira80. Em Adicionar ação, Redirecione para, escolha e, em seguida HTTPS, insira443.

Para obter instruções sobre como adicionar uma nova regra, consulte Adicionar uma regra no Guia do usuário dos Application Load Balancers. Para Protocolo: Porta, escolha e HTTP, em seguida, insira80. Em Adicionar ação, Redirecione para, escolha e, em seguida HTTPS, insira443.

[ELB.2] Os balanceadores de carga clássicos com HTTPS ouvintesSSL/devem usar um certificado fornecido por AWS Certificate Manager

Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 3 (5), (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)

Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit

Severidade: média

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config regra: elb-acm-certificate-required

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o Classic Load Balancer usa SSL certificadosHTTPS//fornecidos por AWS Certificate Manager (ACM). O controle falhará se o Classic Load Balancer configurado comHTTPS/SSLlistener não usar um certificado fornecido pelo. ACM

Para criar um certificado, você pode usar uma ACM ou uma ferramenta que ofereça suporte aos TLS protocolos SSL e, como OpenSSL. O Security Hub recomenda que você use ACM para criar ou importar certificados para seu balanceador de carga.

ACMse integra aos Classic Load Balancers para que você possa implantar o certificado em seu balanceador de carga. Você também deve renovar automaticamente esses certificados.

Correção

Para obter informações sobre como associar um TLS certificado ACMSSL/a um Classic Load Balancer, consulte AWS Artigo do Knowledge Center Como posso associar um TLS certificado ACMSSL/a um Classic, Application ou Network Load Balancer?

[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com ou terminação HTTPS TLS

Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)

Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit

Severidade: média

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config regra: elb-tls-https-listeners-only

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se seus ouvintes do Classic Load Balancer estão configurados com HTTPS ou com o TLS protocolo para conexões front-end (cliente para balanceador de carga). O controle é aplicável se um Classic Load Balancer tiver receptores. Se o Classic Load Balancer não tiver um receptor configurado, o controle não relatará nenhuma descoberta.

O controle passa se os ouvintes do Classic Load Balancer estiverem configurados com TLS ou HTTPS para conexões front-end.

O controle falhará se o ouvinte não estiver configurado com TLS ou HTTPS para conexões front-end.

Antes de começar a usar um balanceador de cargas, você deve adicionar ao menos um receptor. Um listener é um processo que usa o protocolo e a porta configurados para verificar solicitações de conexão. Os ouvintes podem oferecer suporte aos TLS protocolos HTTP eHTTPS//. Você deve sempre usar um TLS ouvinte HTTPS or para que o balanceador de carga faça o trabalho de criptografia e descriptografia em trânsito.

Correção

Para corrigir esse problema, atualize seus ouvintes para usar o protocolo TLS orHTTPS.

Para alterar todos os ouvintes não compatíveis para/listeners TLS HTTPS

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em Load Balancing, selecione Load Balancers.

  3. Selecione seu Classic Load Balancer.

  4. Na guia Listeners, selecione Editar.

  5. Para todos os ouvintes em que o Load Balancer Protocol não está definido como SSL ou, altere a configuração HTTPS HTTPS para ou. SSL

  6. Para todos os receptores modificados, na guia Certificados, escolha Alterar padrão.

  7. Para IAMcertificados ACM e, selecione um certificado.

  8. Escolha Salvar como padrão.

  9. Depois de atualizar todos os receptores, escolha Salvar.

[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http

Requisitos relacionados: NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2)

Categoria: Proteger > Segurança de rede

Severidade: média

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config regra: alb-http-drop-invalid-header-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle avalia AWS Balanceadores de carga de aplicativos para garantir que estejam configurados para eliminar cabeçalhos inválidosHTTP. O controle falha se o valor de routing.http.drop_invalid_header_fields.enabled estiver definido como false.

Por padrão, os Application Load Balancers não estão configurados para eliminar valores de HTTP cabeçalho inválidos. A remoção desses valores de cabeçalho evita HTTP ataques de dessincronização.

Observe que você pode desativar esse controle se a opção ELB1.2 estiver ativada.

Correção

Para corrigir esse problema, configure seu balanceador de carga para eliminar campos de cabeçalho inválidos.

Para configurar o balanceador de carga para eliminar campos de cabeçalho inválidos

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Load balancers.

  3. Escolha um Application Load Balancer

  4. Em Ações, escolha Editar atributos.

  5. Em Eliminar campos de cabeçalho inválidos, escolha Habilitar.

  6. Escolha Salvar.

[ELB.5] O registro de aplicativos e balanceadores de carga clássicos deve estar ativado

Requisitos relacionados: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer,AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config regra: elb-logging-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o Application Load Balancer e o Classic Load Balancer têm o registro em log ativado. O controle falha se access_logs.s3.enabled for false.

O Elastic Load Balancing fornece logs de acesso que capturam informações detalhadas sobre as solicitações enviadas ao seu balanceador de carga. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. É possível usar esses logs de acesso para analisar padrões de tráfego e solucionar problemas.

Para saber mais, consulte Logs de acesso para seu Classic Load Balancer no Guia do usuário dos Classic Load Balancers.

Correção

Para ativar os registros de acesso, consulte Etapa 3: Configurar logs de acesso no Guia do usuário dos Application Load Balancers.

[ELB.6] Os balanceadores de carga de aplicativos, gateways e redes devem ter a proteção contra exclusão ativada

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config regra: elb-deletion-protection-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um Application, Gateway ou Network Load Balancer tem a proteção contra exclusão ativada. O controle falhará se a proteção contra exclusão estiver desativada.

Ative a proteção contra exclusão para proteger seu aplicativo, gateway ou Network Load Balancer da exclusão.

Correção

Para evitar que seu load balancer seja excluído acidentalmente, é possível ativar a proteção contra exclusão. Por padrão, a proteção contra exclusão está desativada para seu load balancer.

Se você ativar a proteção contra exclusão para o load balancer, deverá desativá-la antes de excluir o load balancer.

Para ativar a proteção contra exclusão em um Application Load Balancer, consulte Proteção contra exclusão no Guia do usuário de Application Load Balancers. Para ativar a proteção contra exclusão em um Gateway Load Balancer, consulte Proteção contra exclusão no Guia do usuário para Gateway Load Balancers. Para ativar a proteção contra exclusão em um Network Load Balancer, consulte Proteção contra exclusão no Guia do usuário para Network Load Balancers.

[ELB.7] Os balanceadores de carga clássicos devem ter a drenagem de conexão ativada

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoria: Recuperação > Resiliência

Severidade: média

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config regra: elb-connection-draining-enabled (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os Classic Load Balancers têm drenagem da conexão habilitada.

Habilitar a drenagem da conexão em Classic Load Balancers garante que o balanceador de carga interromperá o envio de solicitações para instâncias cujo registro está sendo cancelado ou que não sejam íntegras. Ele mantém as conexões existentes abertas. Isso é particularmente útil para instâncias em grupos do Auto Scaling, para garantir que as conexões não sejam interrompidas abruptamente.

Correção

Para habilitar a drenagem da conexão em Classic Load Balancers, consulte Configurar a drenagem da conexão para o Classic Load Balancer no Guia do usuário dos Classic Load Balancers.

[ELB.8] Os balanceadores de carga clássicos com SSL ouvintes devem usar uma política de segurança predefinida que seja forte AWS Config duração

Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)

Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit

Severidade: média

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config regra: elb-predefined-security-policy-ssl-check

Tipo de programação: acionado por alterações

Parâmetros:

  • predefinedPolicyName: ELBSecurityPolicy-TLS-1-2-2017-01 (não personalizável)

Esse controle verifica se seus Classic Load BalancerHTTPS/SSLouvintes usam a política predefinida. ELBSecurityPolicy-TLS-1-2-2017-01 O controle falhará se o Classic Load BalancerHTTPS/SSLouvintes não o usarem. ELBSecurityPolicy-TLS-1-2-2017-01

Uma política de segurança é uma combinação de SSL protocolos, cifras e a opção Server Order Preference. Políticas predefinidas controlam as cifras, os protocolos e as ordens de preferência a serem suportadas durante SSL as negociações entre um cliente e um balanceador de carga.

O uso ELBSecurityPolicy-TLS-1-2-2017-01 pode ajudá-lo a atender aos padrões de conformidade e segurança que exigem a desativação de versões específicas de SSL TLS e. Para obter mais informações, consulte Políticas de SSL segurança predefinidas para balanceadores de carga clássicos no Guia do usuário para balanceadores de carga clássicos.

Correção

Para obter informações sobre como usar a política de segurança predefinida ELBSecurityPolicy-TLS-1-2-2017-01 com um Classic Load Balancer, consulte Definir configurações de segurança no Guia do usuário dos Classic Load Balancers.

[ELB.9] Os balanceadores de carga clássicos devem ter o balanceamento de carga entre zonas ativado

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config regra: elb-cross-zone-load-balancing-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o balanceamento de carga entre zonas está ativado para os Classic Load Balancers (). CLBs O controle falhará se o balanceamento de carga entre zonas não estiver habilitado para um. CLB

Um nó de load balancer distribui tráfego para destinos registrados somente na sua zona de disponibilidade. Quando o balanceamento de carga entre zonas estiver desabilitado, cada nó do load balancer distribuirá o tráfego somente para os destinos registrados na respectiva zona de disponibilidade. Se o número de destinos registrados não for o mesmo nas zonas de disponibilidade, o tráfego não será distribuído uniformemente e as instâncias em uma zona poderão acabar sendo superutilizadas em comparação com as instâncias em outra zona. Com o balanceamento de carga entre zonas, cada nó do balanceador de carga do seu Classic Load Balancer distribui solicitações uniformemente a todas as instâncias registradas em todas as zonas de disponibilidade habilitadas. Para detalhes, consulte Balanceamento de carga entre zonas no Guia do usuário do Elastic Load Balancing.

Correção

Para habilitar o balanceamento de carga entre zonas em um Classic Load Balancer, consulte Habilitar balanceamento de carga entre zonas no Guia do usuário dos Classic Load Balancers.

[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config regra: clb-multiple-az

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub

minAvailabilityZones

Número mínimo de zonas de disponibilidade

Enum

2, 3, 4, 5, 6

2

Esse controle verifica se um Classic Load Balancer foi configurado para abranger pelo menos o número especificado de zonas de disponibilidade ()AZs. O controle falhará se o Classic Load Balancer não abranger pelo menos o número especificado de. AZs A menos que você forneça um valor de parâmetro personalizado para o número mínimo deAZs, o Security Hub usa um valor padrão de doisAZs.

Um Classic Load Balancer pode ser configurado para distribuir solicitações recebidas entre EC2 instâncias da Amazon em uma única zona de disponibilidade ou em várias zonas de disponibilidade. Um Classic Load Balancer que não abrange várias zonas de disponibilidade não consegue redirecionar o tráfego para destinos em outra zona de disponibilidade se a única zona de disponibilidade configurada ficar indisponível.

Correção

Para adicionar zonas de disponibilidade a um Classic Load Balancer, consulte Adicionar ou remover sub-redes para seu Classic Load Balancer no Guia do usuário de Classic Load Balancers.

[ELB.12] O Application Load Balancer deve ser configurado com o modo de mitigação de dessincronização defensivo ou mais rigoroso

Requisitos relacionados: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoria: Proteger > Proteção de dados > Integridade dos dados

Severidade: média

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config regra: alb-desync-mode-check

Tipo de programação: acionado por alterações

Parâmetros:

  • desyncMode: defensive, strictest (não personalizável)

Esse controle verifica se um Application Load Balancer está configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso. O controle falhará se um Application Load Balancer não estiver configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso.

HTTPProblemas de dessincronização podem levar ao contrabando de solicitações e tornar os aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Por sua vez, essas vulnerabilidades podem levar ao preenchimento de credenciais ou à execução de comandos não autorizados. Os balanceadores de carga de aplicativos configurados com o modo defensivo ou de mitigação de dessincronização mais rigorosa protegem seu aplicativo contra problemas de segurança que podem ser causados pela dessincronização. HTTP

Correção

Para atualizar o modo de mitigação de dessincronização de um Application Load Balancer, consulte Modo de mitigação de dessincronização no Guia do usuário dos Application Load Balancers.

[ELB.13] Os balanceadores de carga de aplicativos, redes e gateways devem abranger várias zonas de disponibilidade

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config regra: elbv2-multiple-az

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub

minAvailabilityZones

Número mínimo de zonas de disponibilidade

Enum

2, 3, 4, 5, 6

2

Esse controle verifica se um Elastic Load Balancer V2 (Load Balancer de aplicativo, rede ou gateway) registrou instâncias de pelo menos o número especificado de zonas de disponibilidade (). AZs O controle falhará se um Elastic Load Balancer V2 não tiver instâncias registradas em pelo menos o número especificado de. AZs A menos que você forneça um valor de parâmetro personalizado para o número mínimo deAZs, o Security Hub usa um valor padrão de doisAZs.

O Elastic Load Balancing distribui automaticamente seu tráfego de entrada em vários destinos, como EC2 instâncias, contêineres e endereços IP, em uma ou mais zonas de disponibilidade. O Elastic Load Balancing escala seu balanceador de carga conforme seu tráfego de entrada muda com o tempo. É recomendável configurar pelo menos duas zonas de disponibilidade para garantir a disponibilidade dos serviços, pois o Elastic Load Balancer poderá direcionar o tráfego para outra zona de disponibilidade se uma ficar indisponível. Ter várias zonas de disponibilidade configuradas ajudará a eliminar um único ponto de falha para o aplicativo.

Correção

Para adicionar uma zona de disponibilidade a um Application Load Balancer, consulte Zonas de disponibilidade para Application Load Balancer no Guia do usuário dos Application Load Balancers. Para criar uma Zona de disponibilidade em um Network Load Balancer load balancer de rede, consulte Conceitos básicos sobre load balancers de rede no Guia do usuário do load balancer de rede. Para adicionar uma zona de disponibilidade a um Gateway Load Balancer, consulte Criar um Gateway Load Balancer no Guia do usuário dos Gateway Load Balancers.

[ELB.14] O Classic Load Balancer deve ser configurado com o modo de mitigação de dessincronização defensivo ou mais rigoroso

Requisitos relacionados: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoria: Proteger > Proteção de dados > Integridade dos dados

Severidade: média

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config regra: clb-desync-mode-check

Tipo de programação: acionado por alterações

Parâmetros:

  • desyncMode: defensive, strictest (não personalizável)

Esse controle verifica se um Classic Load Balancer está configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso. O controle falhará se um Classic Load Balancer não estiver configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso.

HTTPProblemas de dessincronização podem levar ao contrabando de solicitações e tornar os aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Por sua vez, essas vulnerabilidades podem levar ao sequestro de credenciais ou à execução de comandos não autorizados. Os balanceadores de carga clássicos configurados com o modo defensivo ou de mitigação de dessincronização mais rigorosa protegem seu aplicativo contra problemas de segurança que podem ser causados pela dessincronização. HTTP

Correção

Para atualizar o modo de mitigação de dessincronização de um Classic Load Balancer, consulte Modo de mitigação de dessincronização no Guia do usuário dos Classic Load Balancers.

[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a um AWS WAF web ACL

Requisitos relacionados: NIST.800-53.r5 AC-4 (21)

Categoria: Proteger > Serviços de proteção

Severidade: média

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config regra: alb-waf-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um Application Load Balancer está associado a um AWS WAF Clássico ou AWS WAF lista de controle de acesso à web (webACL). O controle falhará se o Enabled campo para o AWS WAF a configuração está definida comofalse.

AWS WAF é um firewall de aplicativos da web que ajuda a proteger os aplicativos da web e APIs contra ataques. Com AWS WAF, você pode configurar uma webACL, que é um conjunto de regras que permite, bloqueia ou conta solicitações da web com base nas regras e condições de segurança da web personalizáveis que você define. Recomendamos associar seu Application Load Balancer a um AWS WAF web ACL para ajudar a protegê-lo contra ataques maliciosos.

Correção

Para associar um Application Load Balancer a uma webACL, consulte Associando ou desassociando uma web com um ACL AWS recurso no AWS WAF Guia do desenvolvedor.