Recomendaciones de seguridad para recursos de Amazon Web Services (AWS)
En este artículo se enumeran todas las recomendaciones que puede ver en Microsoft Defender for Cloud si conecta una cuenta de Amazon Web Services (AWS) mediante la página Configuración del entorno. Las recomendaciones que aparecen en el entorno se basan en los recursos que está protegiendo y en la configuración personalizada.
Para obtener información sobre las acciones que puede realizar en respuesta a estas recomendaciones, consulte Corrección de recomendaciones en Defender for Cloud.
La puntuación de seguridad se basa en el número de recomendaciones de seguridad que ha completado. Para decidir qué recomendaciones resolver primero, examine la gravedad de cada recomendación y su posible efecto en la puntuación segura.
Recomendaciones de AWS Compute
Las instancias de Amazon EC2 administradas por Systems Manager deben tener un estado de cumplimiento de revisiones COMPLIANT después de instalar una revisión
Descripción: este control comprueba si el estado de cumplimiento del cumplimiento de la revisión de Amazon EC2 Systems Manager es COMPATIBLE o NON_COMPLIANT después de la instalación de revisiones en la instancia. Solo comprueba las instancias administradas por AWS Systems Manager Patch Manager. No comprueba si la revisión se aplicó dentro del límite de 30 días indicado por el requisito de PCI DSS "6.2". Tampoco valida si las revisiones aplicadas se clasificaron como revisiones de seguridad. Debe crear grupos de revisión con la configuración de línea de base adecuada y asegurarse de que los sistemas del ámbito se administran mediante esos grupos de revisiones en Systems Manager. Para obtener más información sobre los grupos de revisiones, consulte Guía de usuario de AWS Systems Manager.
Gravedad: media
Amazon EFS debe configurarse para cifrar los datos de archivo en reposo con AWS KMS.
Descripción: este control comprueba si Amazon Elastic File System está configurado para cifrar los datos de archivo mediante AWS KMS. La comprobación produce un error en los siguientes casos: *"Encrypted" se establece en "false" en la respuesta DescribeFileSystems. La clave "KmsKeyId" de la respuesta DescribeFileSystems no coincide con el parámetro KmsKeyId para efs-encrypted-check. Tenga en cuenta que este control no usa el parámetro "KmsKeyId" para efs-encrypted-check. Solo comprueba el valor de "Encrypted". Para obtener una capa de seguridad adicional para los datos confidenciales en Amazon EFS, debe crear sistemas de archivos cifrados. Amazon EFS admite el cifrado para sistemas de archivos en reposo. Puede habilitar el cifrado de datos en reposo al crear un sistema de archivos de Amazon EFS. Para más información sobre el cifrado de Amazon EFS, vea Cifrado de datos en Amazon EFS en la Guía del usuario de Amazon Elastic File System.
Gravedad: media
Los volúmenes de Amazon EFS deben estar en los planes de copia de seguridad.
Descripción: este control comprueba si los sistemas de archivos amazon Elastic File System (Amazon EFS) se agregan a los planes de copia de seguridad de AWS Backup. El control produce un error si los sistemas de archivos de Amazon EFS no se incluyen en los planes de copia de seguridad. La adición de sistemas de archivos de EFS en los planes de copia de seguridad le ayuda a proteger los datos frente a la eliminación y la pérdida de datos.
Gravedad: media
La protección contra eliminación del equilibrador de carga de aplicaciones debe estar habilitada.
Descripción: este control comprueba si una instancia de Application Load Balancer tiene habilitada la protección de eliminación. El control produce un error si la protección de eliminación no está configurada. Habilite la protección de eliminación para proteger Application Load Balancer frente a la eliminación.
Gravedad: media
Los grupos de escalado automático asociados con un equilibrador de carga deben usar comprobaciones de estado.
Descripción: los grupos de escalado automático asociados a un equilibrador de carga usan comprobaciones de estado de Equilibrio de carga elástico. PCI DSS no requiere equilibrio de carga ni configuraciones de alta disponibilidad. Esto se recomienda en los procedimientos recomendados de AWS.
Gravedad: baja
Las cuentas de AWS deben tener habilitado el aprovisionamiento automático de Azure Arc
Descripción: para obtener visibilidad completa del contenido de seguridad de Microsoft Defender para servidores, las instancias ec2 deben estar conectadas a Azure Arc. Para asegurarse de que todas las instancias EC2 aptas reciban automáticamente Azure Arc, habilite el aprovisionamiento automático desde Defender for Cloud en el nivel de cuenta de AWS. Obtenga más información sobre Azure Arc y Microsoft Defender para servidores.
Gravedad: alta
Las distribuciones de CloudFront deben tener configurada la conmutación por error de origen.
Descripción: este control comprueba si una distribución de Amazon CloudFront está configurada con un grupo de origen que tiene dos o más orígenes. La conmutación por error de origen de CloudFront puede aumentar la disponibilidad. La conmutación por error de origen redirige automáticamente el tráfico a un origen secundario si el origen principal no está disponible o si devuelve códigos de estado de respuesta HTTP específicos.
Gravedad: media
Las direcciones URL del repositorio de origen de CodeBuild de GitHub o de Bitbucket deben usar OAuth.
Descripción: este control comprueba si la dirección URL del repositorio de código fuente de GitHub o Bitbucket contiene tokens de acceso personales o un nombre de usuario y una contraseña. Las credenciales de autenticación nunca deben almacenarse ni transmitirse en texto sin formato ni aparecer en la dirección URL del repositorio. En lugar de tokens de acceso personal o nombre de usuario y contraseña, debe usar OAuth para conceder autorización para acceder a los repositorios de GitHub o Bitbucket. El uso de tokens de acceso personal o un nombre de usuario y una contraseña podrían exponer sus credenciales a una exposición de datos no deseada y a un acceso no autorizado.
Gravedad: alta
Las variables de entorno de proyecto de CodeBuild no deben contener credenciales.
Descripción: este control comprueba si el proyecto contiene las variables AWS_ACCESS_KEY_ID de entorno y AWS_SECRET_ACCESS_KEY.
Las credenciales de autenticación AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY nunca deben almacenarse como texto no cifrado, ya que esto podría provocar una exposición de datos no deseada y un acceso no autorizado.
Gravedad: alta
Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo.
Descripción: este control comprueba si un clúster DAX está cifrado en reposo. El cifrado de datos en reposo reduce el riesgo de que un usuario no autenticado en AWS acceda a los datos almacenados en disco. El cifrado agrega otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para descifrar los datos antes de que se puedan leer.
Gravedad: media
Las tablas de DynamoDB deben escalar automáticamente la capacidad con la demanda.
Descripción: este control comprueba si una tabla de Amazon DynamoDB puede escalar su capacidad de lectura y escritura según sea necesario. Este control se pasa si la tabla usa el modo de capacidad a petición o el modo aprovisionado con el escalado automático configurado. El escalado de la capacidad según la demanda evita las excepciones de limitación, lo que ayuda a mantener la disponibilidad de las aplicaciones.
Gravedad: media
Las instancias de EC2 deben estar conectadas a Azure Arc.
Descripción: Conectar las instancias ec2 en Azure Arc para tener visibilidad completa del contenido de seguridad de Microsoft Defender para servidores. Obtenga más información sobre Azure Arc y Microsoft Defender para servidores en un entorno híbrido.
Gravedad: alta
Las instancias de EC2 deben ser administradas por AWS Systems Manager.
Descripción: el estado del cumplimiento de revisiones de Amazon EC2 Systems Manager es "COMPATIBLE" o "NON_COMPLIANT" después de la instalación de revisiones en la instancia. Solo se comprueban las instancias administradas por AWS Systems Manager Patch Manager. No se comprueban las revisiones que se aplicaron dentro del límite de 30 días prescrito por el requisito de PCI DSS "6".
Gravedad: media
Los problemas de configuración de EDR deben resolverse en EC2
Descripción: para proteger las máquinas virtuales frente a las amenazas y vulnerabilidades más recientes, resuelva todos los problemas de configuración identificados con la solución de detección y respuesta de puntos de conexión (EDR) instalada.
Nota: Actualmente, esta recomendación solo se aplica a los recursos con Microsoft Defender para punto de conexión (MDE) habilitado.
Gravedad: alta
La solución EDR debe instalarse en EC2
Descripción: para proteger EC2, instale una solución de detección y respuesta de puntos de conexión (EDR). Las EDR ayudan a evitar, detectar, investigar y responder a amenazas avanzadas. Use Microsoft Defender para servidores para implementar Microsoft Defender para punto de conexión. Si el recurso se clasifica como "Incorrecto", no tiene instalada una solución EDR compatible. Si tiene instalada una solución EDR que esta recomendación no puede reconocer, puede excluirla.
Gravedad: alta
Las instancias administradas por Systems Manager deben tener un estado de cumplimiento de asociación de COMPLIANT.
Descripción: este control comprueba si el estado del cumplimiento de la asociación de AWS Systems Manager es COMPATIBLE o NON_COMPLIANT después de ejecutar la asociación en una instancia. El control pasa si el estado de cumplimiento de la asociación es COMPLIANT. Una asociación de State Manager es una configuración que se asigna a las instancias administradas. La configuración define el estado que desea mantener en las instancias. Por ejemplo, una asociación puede especificar que el software antivirus debe instalarse y ejecutarse en las instancias, o que se deben cerrar determinados puertos. Después de crear una o varias asociaciones de State Manager, la información de estado de cumplimiento está disponible inmediatamente en la consola o en respuesta a los comandos de la CLI de AWS o a las operaciones de API de Systems Manager correspondientes. En el caso de las asociaciones, el cumplimiento de "Configuración" muestra los estados compatibles o no compatibles y el nivel de gravedad asignado a la asociación, como Crítico o Medio. Para obtener más información sobre el cumplimiento de asociaciones de State Manager, consulte Acerca del cumplimiento de asociaciones de State Manager en la Guía de usuario de AWS Systems Manager. Debe configurar las instancias de EC2 del ámbito para la asociación de Systems Manager. También debe configurar la línea base de revisión para la clasificación de seguridad del proveedor de revisiones y establecer la fecha de autoaplicación para cumplir el requisito 6.2.1 de PCI DSS 3.2.1. Para obtener más instrucciones sobre cómo crear una asociación, consulte Creación de una asociación en la Guía de usuario de AWS Systems Manager. Para obtener más información sobre cómo trabajar con la aplicación de revisiones en Systems Manager, consulte AWS Systems Manager Patch Manager en la Guía de usuario de AWS Systems Manager.
Gravedad: baja
Las funciones lambda deben tener una cola de mensajes fallidos configurada.
Descripción: este control comprueba si una función lambda está configurada con una cola de mensajes fallidos. Este control genera un error si la función lambda no está configurada con una cola de mensajes con problemas de entrega. Como alternativa a un destino en caso de error, puede configurar la función con una cola de mensajes fallidos para guardar los eventos descartados para su posterior procesamiento. Una cola de mensajes fallidos actúa igual que un destino en caso de error. Se usa cuando un evento genera un error en todos los intentos de procesamiento o cuando expira sin procesarse. Una cola de mensajes fallidos le permite volver a buscar errores o solicitudes con error en la función lambda para depurar o identificar comportamientos inusuales. Desde el punto de vista de la seguridad, es importante comprender por qué la función ha generado un error y asegurarse de que, en consecuencia, la función no elimina datos ni pone en peligro la seguridad de los datos. Por ejemplo, si la función no puede comunicarse con un recurso subyacente, podría ser un síntoma de un ataque por denegación de servicio (DoS) en otra parte de la red.
Gravedad: media
Las funciones lambda deben usar entornos en tiempo de ejecución admitidos.
Descripción: este control comprueba que la configuración de la función Lambda para los entornos de ejecución coincidan con los valores esperados establecidos para los entornos de ejecución admitidos para cada idioma. Este control comprueba los siguientes runtimes: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Runtimes lambda se crean en torno a una combinación de sistemas operativos, lenguajes de programación y bibliotecas de software que están sujetas a actualizaciones de mantenimiento y seguridad. Cuando ya no se admite un componente en tiempo de ejecución para las actualizaciones de seguridad, lambda descarta el entorno de ejecución. Aunque no se pueden crear funciones que usen el tiempo de ejecución en desuso, la función sigue estando disponible para procesar eventos de invocación. Asegúrese de que las funciones lambda son actuales y no usan entornos en tiempo de ejecución obsoletos. Para más información sobre los entornos de ejecución admitidos que este control comprueba para los lenguajes admitidos, vea Tiempos de ejecución de Lambda en la Guía para desarrolladores de AWS Lambda.
Gravedad: media
Los puertos de administración de las instancias EC2 deben protegerse con el control de acceso de red Just-In-Time.
Descripción: Microsoft Defender for Cloud identificó algunas reglas de entrada excesivamente permisivas para los puertos de administración de la red. Habilite el control de acceso Just-in-Time para proteger las instancias frente a los ataques por fuerza bruta que se realizan a través de Internet. Más información.
Gravedad: alta
Se deben quitar los grupos de seguridad de EC2 sin usar.
Descripción: los grupos de seguridad deben adjuntarse a instancias de Amazon EC2 o a un ENI. La búsqueda correcta puede indicar que hay grupos de seguridad de Amazon EC2 sin usar.
Gravedad: baja
Recomendaciones de contenedores de AWS
[Vista previa] Las imágenes de contenedor en el registro de AWS deben tener los resultados de vulnerabilidad resueltos
Descripción: Defender for Cloud examina las imágenes del registro en busca de vulnerabilidades conocidas (CVE) y proporciona conclusiones detalladas para cada imagen escaneada. El examen y la corrección de las vulnerabilidades de las imágenes de contenedores del registro ayudan a mantener una cadena de suministro de software segura y de confianza, reducen el riesgo de incidentes de seguridad y garantizan el cumplimiento de los estándares del sector.
Gravedad: alta
Tipo: Evaluación de vulnerabilidades
[Vista previa] Los contenedores que se ejecutan en AWS deben tener los resultados de vulnerabilidad resueltos
Descripción: Defender for Cloud crea un inventario de todas las cargas de trabajo de contenedor que se ejecutan actualmente en los clústeres de Kubernetes y proporciona informes de vulnerabilidades para esas cargas de trabajo mediante la coincidencia de las imágenes que se usan y los informes de vulnerabilidades creados para las imágenes del Registro. El examen y la corrección de las vulnerabilidades de las cargas de trabajo de los contenedores es fundamental para garantizar una cadena de suministro de software sólida y segura, reducir el riesgo de incidentes de seguridad y garantizar el cumplimiento de los estándares del sector.
Gravedad: alta
Tipo: Evaluación de vulnerabilidades
Los clústeres de EKS deben conceder los permisos de AWS necesarios a Microsoft Defender for Cloud.
Descripción: Microsoft Defender para contenedores proporciona protecciones para los clústeres de EKS. Para supervisar las amenazas y vulnerabilidades de seguridad del clúster, Defender para contenedores necesita permisos para su cuenta de AWS. Estos permisos se usan para habilitar el registro del plano de control de Kubernetes en el clúster y establecer una canalización confiable entre el clúster y el back-end de Defender for Cloud en la nube. Obtenga más información sobre las características de seguridad de Microsoft Defender for Cloud para los entornos contenedorizados.
Gravedad: alta
Los clústeres de EKS deben tener instalada la extensión de Microsoft Defender para Azure Arc.
Descripción: la extensión de clúster de Microsoft Defender proporciona funcionalidades de seguridad para los clústeres de EKS. La extensión recopila datos de un clúster y sus nodos para identificar amenazas y vulnerabilidades de seguridad. La extensión funciona con Kubernetes habilitado para Azure Arc. Obtenga más información sobre las características de seguridad de Microsoft Defender for Cloud para los entornos contenedorizados.
Gravedad: alta
Microsoft Defender para contenedores debe estar habilitado en los conectores de AWS.
Descripción: Microsoft Defender para contenedores proporciona protección contra amenazas en tiempo real para entornos en contenedores y genera alertas sobre actividades sospechosas. Use esta información para mejorar la seguridad de los clústeres de Kubernetes y corregir los problemas de seguridad.
Importante: Al habilitar Microsoft Defender para contenedores e implementar Azure Arc en los clústeres de EKS, comenzarán las protecciones y los cargos. Si no implementa Azure Arc en un clúster, Defender for Containers no lo protegerá y no se incurrirá en cargos por este plan de Microsoft Defender para ese clúster.
Gravedad: alta
Recomendaciones del plano de datos
Todas las recomendaciones de seguridad del plano de datos de Kubernetes se admiten para AWS después de habilitar Azure Policy para Kubernetes.
Recomendaciones de datos de AWS
Los clústeres de Amazon Aurora deben tener habilitada la vuelta atrás (backtracking)
Descripción: este control comprueba si los clústeres de Amazon Aurora tienen habilitado el retroceso. Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resistencia de los sistemas. La vuelta atrás (backtracking) de Aurora reduce el tiempo de recuperación de una base de datos a un momento dado. No requiere una restauración de base de datos para ello. Para obtener más información sobre la vuelta atrás (backtracking) en Aurora, vea Búsqueda de datos anteriores de un clúster de base de datos de Aurora en la Guía del usuario de Amazon Aurora.
Gravedad: media
Las instantáneas de Amazon EBS no se deben poder restaurar públicamente.
Descripción: las instantáneas de Amazon EBS no deben ser restaurables públicamente por todos a menos que se permita explícitamente, para evitar la exposición accidental de los datos. Además, el permiso para cambiar las configuraciones de Amazon EBS debe restringirse solo a las cuentas de AWS autorizadas.
Gravedad: alta
Las definiciones de tareas de Amazon ECS deben tener modos de red segura y definiciones de usuario.
Descripción: este control comprueba si una definición de tarea de Amazon ECS activa que tiene el modo de red de host también tiene definiciones de contenedor de usuario o con privilegios. Se produce un error en el control para las definiciones de tareas que tienen el modo de red host y las definiciones de contenedor donde privileged=false o está vacío y user=root o está vacío. Si una definición de tarea tiene privilegios elevados, se debe a que el cliente optó específicamente por esa configuración. Este control comprueba si hay una elevación de privilegios inesperada cuando una definición de tarea tiene habilitada la red de host, pero el cliente no optó por privilegios elevados.
Gravedad: alta
Los dominios de Amazon Elasticsearch Service deben cifrar los datos enviados entre nodos.
Descripción: este control comprueba si los dominios de Amazon ES tienen habilitado el cifrado de nodo a nodo. HTTPS (TLS) se puede usar para ayudar a evitar que posibles atacantes puedan interceptar o manipular el tráfico de red mediante ataques de intermediarios o similares. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). La habilitación del cifrado de nodo a nodo para dominios de Amazon ES garantiza que las comunicaciones dentro del clúster se cifran en tránsito. Puede haber una penalización de rendimiento asociada a esta configuración. Debe tener en cuenta y probar la reducción del rendimiento antes de habilitar esta opción.
Gravedad: media
Los dominios de Amazon Elasticsearch Service deben tener habilitado el cifrado en reposo.
Descripción: Es importante habilitar cifrados en el resto de dominios de Amazon ES para proteger los datos confidenciales.
Gravedad: media
La base de datos de Amazon RDS debe cifrarse con una clave administrada por el cliente
Descripción: esta comprobación identifica las bases de datos de RDS cifradas con claves KMS predeterminadas y no con claves administradas por el cliente. Como procedimiento recomendado, use claves administradas por el cliente para cifrar los datos en las bases de datos de RDS y mantenga el control de las claves y los datos en cargas de trabajo confidenciales.
Gravedad: media
La instancia de Amazon RDS debe configurarse con la configuración de copia de seguridad automática
Descripción: esta comprobación identifica las instancias de RDS, que no se establecen con la configuración de copia de seguridad automática. Si la copia de seguridad automática está configurada, RDS crea una instantánea del volumen de almacenamiento de la instancia de base de datos, realizando una copia de seguridad de toda la instancia de base de datos y no sólo de las bases de datos individuales, lo que permite una recuperación a un momento dado. La copia de seguridad automática se produce durante el tiempo de la ventana de copia de seguridad especificada y mantiene las copias de seguridad durante un período de tiempo limitado, tal como se define en el período de retención. Se recomienda establecer copias de seguridad automáticas para los servidores RDS críticos que ayudan en el proceso de restauración de datos.
Gravedad: media
Los clústeres de Amazon Redshift deben tener habilitados los registros de auditoría.
Descripción: este control comprueba si un clúster de Amazon Redshift tiene habilitado el registro de auditoría. El registro de auditoría de Amazon Redshift proporciona información adicional sobre las conexiones y las actividades del usuario en el clúster. Estos datos se pueden almacenar y proteger en Amazon S3 y pueden ser útiles en las auditorías e investigaciones de seguridad. Para obtener más información, vea Registro de auditoría de bases de datos en la Guía de administración de clústeres de Amazon Redshift.
Gravedad: media
Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas.
Descripción: este control comprueba si los clústeres de Amazon Redshift tienen habilitadas instantáneas automatizadas. También comprueba si el período de retención de instantáneas es mayor o igual que siete. Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. Refuerzan la resistencia de los sistemas. Amazon Redshift realiza instantáneas periódicas de forma predeterminada. Este control comprueba si las instantáneas automáticas están habilitadas y si se conservan durante al menos siete días. Para obtener más información sobre las instantáneas automatizadas de Amazon Redshift, consulte Instantáneas automatizadas en la Guía de administración de clústeres de Amazon Redshift.
Gravedad: media
Los clústeres de Amazon Redshift deben prohibir el acceso público.
Descripción: Se recomienda que los clústeres de Amazon Redshift eviten la accesibilidad pública mediante la evaluación del campo "publicAccessible" en el elemento de configuración del clúster.
Gravedad: alta
Amazon Redshift debe tener habilitadas las actualizaciones automáticas de las versiones principales.
Descripción: este control comprueba si las actualizaciones automáticas de versiones principales están habilitadas para el clúster de Amazon Redshift. La habilitación de las actualizaciones automáticas de versiones principales garantiza que las actualizaciones de la última versión principal de los clústeres de Amazon Redshift se instalen durante la ventana de mantenimiento. Estas actualizaciones pueden incluir actualizaciones de seguridad y correcciones de errores. Mantenerse al día con la instalación de revisiones es un paso importante para proteger los sistemas.
Gravedad: media
Las colas de Amazon SQS deben cifrarse en reposo.
Descripción: este control comprueba si las colas de Amazon SQS están cifradas en reposo. El cifrado del lado servidor (SSE) permite transmitir datos confidenciales en colas cifradas. Para proteger el contenido de los mensajes en colas, SSE usa claves administradas en AWS KMS. Para más información, vea Cifrado en reposo en la Guía para desarrolladores de Amazon Simple Queue Service.
Gravedad: media
Se debe configurar una suscripción de notificaciones de eventos de RDS para eventos de clúster críticos.
Descripción: este control comprueba si existe una suscripción de eventos de Amazon RDS que tiene las notificaciones habilitadas para el siguiente tipo de origen, pares clave-valor de categoría de evento. DBCluster: ["maintenance" y "failure"]. Las notificaciones de eventos de RDS usan Amazon SNS para que sea consciente de los cambios en la disponibilidad o configuración de los recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para más información sobre las notificaciones de eventos de RDS, consulte Uso de notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS.
Gravedad: baja
Se debe configurar una suscripción de notificaciones de eventos de RDS para los eventos de instancia de base de datos crítica.
Descripción: este control comprueba si existe una suscripción de eventos de Amazon RDS con las notificaciones habilitadas para el siguiente tipo de origen. pares clave-valor de categoría de eventos. DBInstance: ["maintenance", "configuration change" y "failure"]. Las notificaciones de eventos de RDS usan Amazon SNS para que sea consciente de los cambios en la disponibilidad o configuración de los recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para más información sobre las notificaciones de eventos de RDS, consulte Uso de notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS.
Gravedad: baja
Se debe configurar una suscripción de notificaciones de eventos de RDS para los eventos de grupo de parámetro de base de datos crítica.
Descripción: este control comprueba si existe una suscripción de eventos de Amazon RDS con las notificaciones habilitadas para el siguiente tipo de origen. pares clave-valor de categoría de eventos. DBParameterGroup: ["configuration","change"]. Las notificaciones de eventos de RDS usan Amazon SNS para que sea consciente de los cambios en la disponibilidad o configuración de los recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para más información sobre las notificaciones de eventos de RDS, consulte Uso de notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS.
Gravedad: baja
Se debe configurar una suscripción de notificaciones de eventos de RDS para los eventos de grupo de seguridad de base de datos crítica.
Descripción: este control comprueba si existe una suscripción de eventos de Amazon RDS con notificaciones habilitadas para el siguiente tipo de origen, pares clave-valor de categoría de evento. DBSecurityGroup: ["configuration","change","failure"]. Las notificaciones de eventos de RDS usan Amazon SNS para que sea consciente de los cambios en la disponibilidad o configuración de los recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para más información sobre las notificaciones de eventos de RDS, consulte Uso de notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS.
Gravedad: baja
El registro de API de REST y API WebSocket de puerta de enlace de API debe estar habilitado.
Descripción: este control comprueba si todas las fases de una API REST de Amazon API Gateway o webSocket API tienen habilitado el registro. Se produce un error en el control si el registro no está habilitado para todos los métodos de una fase o si el nivel de registro no es ERROR ni INFO. Las fases de API Gateway REST o WebSocket API deben tener habilitados los registros pertinentes. El registro de ejecución de API Gateway REST y WebSocket API proporciona registros detallados de las solicitudes realizadas a las fases de API Gateway REST y WebSocket API. Las fases incluyen respuestas de back-end de integración de API, respuestas del autorizador de lambda y requestId para los puntos de conexión de integración de AWS.
Gravedad: media
Los datos de la caché de la API de REST de API Gateway deben cifrarse en reposo.
Descripción: este control comprueba si todos los métodos de las fases de API Gateway REST API que tienen habilitada la caché están cifradas. Se produce un error en el control si algún método de una fase de la API de REST de API Gateway está configurado para almacenar en caché y la memoria caché no está cifrada. El cifrado de datos en reposo reduce el riesgo de que un usuario no autenticado en AWS acceda a los datos almacenados en disco. Agrega otro conjunto de controles de acceso para limitar la capacidad de acceso de los usuarios no autorizados a los datos. Por ejemplo, se requieren permisos de API para descifrar los datos antes de que se puedan leer. Las memorias caché de la API de REST de API Gateway deben cifrarse en reposo para una capa de seguridad adicional.
Gravedad: media
Las fases de la API de REST de API Gateway deben configurarse para usar certificados SSL para la autenticación back-end
Descripción: este control comprueba si las fases de la API REST de Amazon API Gateway tienen certificados SSL configurados. Los sistemas back-end usan estos certificados para autenticar que las solicitudes entrantes son de API Gateway. Las fases de la API de REST de API Gateway deben configurarse con certificados SSL para permitir que los sistemas back-end autentiquen que las solicitudes proceden de API Gateway.
Gravedad: media
Las fases de la API de REST de API Gateway deben tener habilitado el seguimiento de AWS X-Ray.
Descripción: este control comprueba si el seguimiento activo de AWS X-Ray está habilitado para las fases de la API REST de Amazon API Gateway. El seguimiento activo de X-Ray permite una respuesta más rápida a los cambios de rendimiento en la infraestructura subyacente. Los cambios en el rendimiento podrían dar lugar a una falta de disponibilidad de la API. El seguimiento activo de X-Ray proporciona métricas en tiempo real de las solicitudes de usuario que fluyen a través de los servicios conectados y las operaciones de la API de REST de API Gateway.
Gravedad: baja
API Gateway debe asociarse con una ACL Web de AWS WAF
Descripción: este control comprueba si una fase de puerta de enlace de API usa una lista de control de acceso web (ACL) de AWS WAF. Este control genera un error si una ACL web de AWS WAF no está asociada a una fase de API Gateway de REST. AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y las API frente a ataques. Permite configurar una ACL, que es un conjunto de reglas que permiten, bloquean o cuentan solicitudes web en función de las reglas y condiciones de seguridad web personalizables que defina. Asegúrese de que la fase de API Gateway está asociada a una ACL web de AWS WAF para ayudar a protegerla frente a ataques malintencionados.
Gravedad: media
El registro de los equilibradores de carga clásicos y de aplicaciones debe estar habilitado.
Descripción: este control comprueba si la instancia de Application Load Balancer y el equilibrador de carga clásico tienen habilitado el registro. El control produce un error si access_logs.s3.enabled es false.
Elastic Load Balancing proporciona registros de acceso que capturan información detallada sobre las solicitudes enviadas al equilibrador de carga. Cada registro contiene información como la hora en que se recibió la solicitud, la dirección IP del cliente, las latencias, las rutas de acceso de solicitud y las respuestas del servidor. Puede usar estos registros de acceso para analizar patrones de tráfico y solucionar problemas.
Para más información, consulte Acceso a registros para su equilibrador de carga clásico en la guía del usuario de equilibradores de carga clásicos.
Gravedad: media
Los volúmenes de EBS conectados deben cifrarse en reposo.
Descripción: este control comprueba si los volúmenes EBS que están en un estado adjunto están cifrados. Para pasar esta comprobación, los volúmenes de EBS deben estar en uso y cifrados. Si el volumen de EBS no está asociado, no está sujeto a esta comprobación. Para obtener una capa de seguridad adicional de los datos confidenciales en los volúmenes de EBS, debe habilitar el cifrado de EBS en reposo. El cifrado de Amazon EBS ofrece una solución de cifrado sencilla para los recursos de EBS que no requieren que compile, mantenga y proteja su propia infraestructura de administración de claves. Usa las claves maestras de cliente (CMK) de AWS KMS al crear volúmenes e instantáneas cifrados. Para más información sobre el cifrado de Amazon EBS, vea Cifrado de Amazon EBS en la Guía del usuario de Amazon EC2 para instancias de Linux.
Gravedad: media
Las instancias de replicación de AWS Database Migration Service no deben ser públicas.
Descripción: para proteger las instancias replicadas frente a amenazas. Una instancia de replicación privada debe tener una dirección IP privada a la que no se pueda acceder fuera de la red de replicación. Una instancia de replicación debe tener una dirección IP privada cuando las bases de datos de origen y de destino se encuentran en la misma red y la red está conectada a la VPC de la instancia de replicación mediante una VPN, AWS Direct Connect o el emparejamiento de VPC. También debe asegurarse de que el acceso a la configuración de la instancia de AWS DMS se limita solo a los usuarios autorizados. Para ello, restrinja los permisos IAM de los usuarios para modificar la configuración y los recursos de AWS DMS.
Gravedad: alta
Los agentes de escucha del equilibrador de carga clásico deben configurarse con terminación HTTPS o TLS.
Descripción: este control comprueba si los agentes de escucha de Load Balancer clásicos están configurados con el protocolo HTTPS o TLS para las conexiones front-end (cliente a equilibrador de carga). El control es aplicable si un equilibrador de carga clásico tiene agentes de escucha. Si el equilibrador de carga clásico no tiene configurado un agente de escucha, el control no informa de ningún resultado. El control se pasa si los agentes de escucha del equilibrador de carga clásico están configurados con TLS o HTTPS para las conexiones front-end. El control genera un error si el agente de escucha no está configurado con TLS o HTTPS para las conexiones front-end. Antes de empezar a usar un equilibrador de carga, debe agregar uno o varios agentes de escucha. Un agente de escucha es un proceso que usa el protocolo y el puerto configurados para comprobar las solicitudes de conexión. Los agentes de escucha pueden admitir los protocolos HTTP y HTTPS/TLS. Siempre debe usar un agente de escucha HTTPS o TLS, para que el equilibrador de carga haga el trabajo de cifrado y descifrado en tránsito.
Gravedad: media
Los equilibradores de carga clásicos deben tener habilitado el drenaje de conexiones.
Descripción: este control comprueba si los equilibradores de carga clásicos tienen habilitada la purga de conexiones. La habilitación del purgado de conexiones en equilibradores de carga clásico garantiza que el equilibrador de carga deje de enviar solicitudes a instancias que se anulen el registro o estén en mal estado. Mantiene abiertas las conexiones existentes. Esto es útil para las instancias de los grupos de escalado automático, para asegurarse de que las conexiones no se interrumpan repentinamente.
Gravedad: media
Las distribuciones de CloudFront deben tener habilitado AWS WAF
Descripción: este control comprueba si las distribuciones de CloudFront están asociadas a las ACL web de AWS WAF o AWS WAFv2. Se produce un error en el control si la distribución no está asociada a una ACL web. AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y las API frente a ataques. Permite configurar un conjunto de reglas, denominada lista de control de acceso web (ACL web), que permiten, bloquean o cuentan las solicitudes web en función de las reglas y condiciones de seguridad web personalizables que defina. Asegúrese de que la distribución de CloudFront está asociada a una ACL web de AWS WAF para ayudar a protegerla frente a ataques malintencionados.
Gravedad: media
Las distribuciones de CloudFront deben tener habilitado el registro.
Descripción: este control comprueba si el registro de acceso al servidor está habilitado en distribuciones de CloudFront. Se produce un error en el control si el registro de acceso no está habilitado para una distribución. Los registros de acceso de CloudFront proporcionan información detallada sobre cada solicitud de usuario que CloudFront recibe. Cada registro contiene información como la fecha y hora en que se recibió la solicitud, la dirección IP del visor que realizó la solicitud, el origen de la solicitud y el número de puerto de la solicitud del visor. Estos registros son útiles para aplicaciones como auditorías de seguridad y acceso e investigación forense. Para obtener más información sobre cómo analizar los registros de acceso, consulte Consulta de registros de Amazon CloudFront en la Guía del usuario de Amazon Athena.
Gravedad: media
Las distribuciones de CloudFront deben requerir el cifrado en tránsito.
Descripción: este control comprueba si una distribución de Amazon CloudFront requiere que los visores usen HTTPS directamente o si usa el redireccionamiento. Se produce un error en el control si ViewerProtocolPolicy está establecido en allow-all para defaultCacheBehavior o para cacheBehaviors. HTTPS (TLS) se puede usar para ayudar a evitar que posibles atacantes puedan usar ataques intermedios o similares para espiar o manipular el tráfico de red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de datos en tránsito puede afectar al rendimiento. Debe probar la aplicación con esta característica para comprender el perfil de rendimiento y el impacto de TLS.
Gravedad: media
Los registros de CloudTrail deben estar cifrados en reposo mediante CMK de KMS.
Descripción: se recomienda configurar CloudTrail para usar SSE-KMS. La configuración de CloudTrail para usar SSE-KMS proporciona controles de confidencialidad adicionales en los datos de registro, ya que un usuario determinado debe tener un permiso de lectura de S3 en el cubo de registro correspondiente y la directiva de CMK debe conceder permiso de descifrado.
Gravedad: media
Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito.
Descripción: este control comprueba si se requieren conexiones a clústeres de Amazon Redshift para usar el cifrado en tránsito. Se produce un error en la comprobación si el parámetro del clúster de Amazon Redshift require_SSL no está establecido en 1. TLS se puede usar para ayudar a evitar que posibles atacantes puedan usar ataques intermedios o similares para espiar o manipular el tráfico de red. Solo se deben permitir las conexiones cifradas a través de TLS. El cifrado de datos en tránsito puede afectar al rendimiento. Debe probar la aplicación con esta característica para comprender el perfil de rendimiento y el impacto de TLS.
Gravedad: media
Las conexiones a dominios de Elasticsearch deben cifrarse mediante TLS 1.2.
Descripción: este control comprueba si se requieren conexiones a dominios de Elasticsearch para usar TLS 1.2. Se produce un error en la comprobación si el dominio de Elasticsearch TLSSecurityPolicy no es Policy-Min-TLS-1-2-2019-07. HTTPS (TLS) se puede usar para ayudar a evitar que posibles atacantes puedan usar ataques intermedios o similares para espiar o manipular el tráfico de red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de datos en tránsito puede afectar al rendimiento. Debe probar la aplicación con esta característica para comprender el perfil de rendimiento y el impacto de TLS. TLS 1.2 proporciona varias mejoras de seguridad con respecto a versiones anteriores de TLS.
Gravedad: media
Las tablas de DynamoDB deben tener habilitada la recuperación a un momento dado.
Descripción: este control comprueba si la recuperación a un momento dado (PITR) está habilitada para una tabla de Amazon DynamoDB. Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resistencia de los sistemas. La recuperación a un momento dado de DynamoDB automatiza las copias de seguridad de las tablas de DynamoDB. Reduce el tiempo de recuperación de las operaciones accidentales de eliminación o escritura. Las tablas de DynamoDB que tienen PITR habilitado se pueden restaurar a cualquier momento dado en los últimos 35 días.
Gravedad: media
El cifrado predeterminado de EBS debe estar habilitado.
Descripción: este control comprueba si el cifrado de nivel de cuenta está habilitado de forma predeterminada para Amazon Elastic Block Store (Amazon EBS). Se produce un error en el control si el cifrado de nivel de cuenta no está habilitado. Cuando el cifrado está habilitado para su cuenta, las copias de instantáneas y los volúmenes de Amazon EBS se cifran en reposo. Esto agrega otra capa de protección para los datos. Para más información, vea Cifrado predeterminado en la Guía del usuario de Amazon EC2 para instancias de Linux. Tenga en cuenta que los siguientes tipos de instancias no admiten el cifrado: R1, C1 y M1.
Gravedad: media
Los entornos Elastic Beanstalk deben tener habilitados los informes de estado mejorados.
Descripción: este control comprueba si los informes de estado mejorados están habilitados para los entornos de AWS Elastic Beanstalk. Los informes de estado mejorados de Elastic Beanstalk permiten una respuesta más rápida a los cambios en el estado de la infraestructura subyacente. Estos cambios podrían generar una falta de disponibilidad de la aplicación. Los informes de estado mejorados de Elastic Beanstalk proporcionan un descriptor de estado para medir la gravedad de los problemas identificados e identificar las posibles causas que hay que investigar. El agente de mantenimiento de Elastic Beanstalk, incluido en las imágenes de máquina de Amazon (AMI) compatibles, evalúa los registros y las métricas de las instancias de EC2 del entorno.
Gravedad: baja
Las actualizaciones de la plataforma administrada Elastic Beanstalk deben estar habilitadas.
Descripción: este control comprueba si las actualizaciones de la plataforma administrada están habilitadas para el entorno de Elastic Beanstalk. La habilitación de las actualizaciones de la plataforma administrada garantiza la instalación de las últimas correcciones, actualizaciones y características de la plataforma disponibles para el entorno. Mantenerse al día con la instalación de revisiones es un paso importante para proteger los sistemas.
Gravedad: alta
Elastic Load Balancer no debe tener el certificado ACM expirado o que expire en 90 días.
Descripción: esta comprobación identifica los equilibradores de carga elásticos (ELB) que usan certificados ACM expirados o que expiran en 90 días. AWS Certificate Manager (ACM) es la herramienta preferida para aprovisionar, administrar e implementar los certificados de servidor. Con ACM, puede solicitar un certificado o implementar un certificado ACM o externo existente en los recursos de AWS. Como procedimiento recomendado, se recomienda volver a importar certificados expirados o en proceso de expiración, a la vez que se conservan las asociaciones de ELB del certificado original.
Gravedad: alta
Se debe habilitar el registro de errores de dominios de Elasticsearch en CloudWatch Logs.
Descripción: este control comprueba si los dominios de Elasticsearch están configurados para enviar registros de errores a CloudWatch Logs. Debe habilitar los registros de errores para los dominios de Elasticsearch y enviarlos a los registros de CloudWatch para fines de retención y respuesta. Los registros de errores de dominio pueden ayudar con las auditorías de seguridad y acceso, así como con el diagnóstico de problemas de disponibilidad.
Gravedad: media
Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados.
Descripción: este control comprueba si los dominios de Elasticsearch están configurados con al menos tres nodos maestros dedicados. Se produce un error en este control si el dominio no usa nodos maestros dedicados. Este control se supera si los dominios de Elasticsearch tienen cinco nodos maestros dedicados. Sin embargo, el uso de más de tres nodos maestros podría no ser necesario para mitigar el riesgo de disponibilidad y generará costos adicionales. Un dominio de Elasticsearch requiere al menos tres nodos maestros dedicados para alta disponibilidad y tolerancia a errores. Los recursos de nodo maestro dedicados se pueden forzar durante las implementaciones azul/verde del nodo de datos porque hay nodos adicionales que administrar. La implementación de un dominio de Elasticsearch con al menos tres nodos maestros dedicados garantiza suficiente capacidad de recursos de nodos maestros y operaciones de clúster si se produce un error algún un nodo.
Gravedad: media
Los dominios de Elasticsearch deben tener al menos tres nodos de datos.
Descripción: este control comprueba si los dominios de Elasticsearch están configurados con al menos tres nodos de datos y zoneAwarenessEnabled es true. Un dominio de Elasticsearch requiere al menos tres nodos de datos dedicados para alta disponibilidad y tolerancia a errores. La implementación de un dominio de Elasticsearch con al menos tres nodos de datos garantiza las operaciones del clúster si se produce un error en algún nodo.
Gravedad: media
Los dominios de Elasticsearch deben tener habilitado el registro de auditoría.
Descripción: este control comprueba si los dominios de Elasticsearch tienen habilitado el registro de auditoría. Este control genera un error si los dominios de Elasticsearch no tienen habilitado el registro de auditoría. Los registros de auditoría son muy personalizables. Le permiten realizar un seguimiento de la actividad del usuario en los clústeres de Elasticsearch, incluidos los éxitos y errores de autenticación, las solicitudes a OpenSearch, los cambios de índice y las consultas de búsqueda entrantes.
Gravedad: media
La supervisión mejorada debe configurarse para los clústeres y las instancias de base de datos de RDS
Descripción: este control comprueba si la supervisión mejorada está habilitada para las instancias de base de datos de RDS. En Amazon RDS, la supervisión mejorada permite una respuesta más rápida a los cambios de rendimiento en la infraestructura subyacente. Los cambios de rendimiento podrían provocar una falta de disponibilidad de los datos. La supervisión mejorada proporciona métricas en tiempo real del sistema operativo en el que se ejecuta la instancia de base de datos de RDS. Se instala un agente en la instancia. El agente puede obtener las métricas con más precisión de lo que es posible desde la capa de hipervisor. Las métricas de supervisión mejorada son útiles cuando desea ver cómo los distintos procesos o subprocesos de una instancia de base de datos usan la CPU. Para más información, vea Supervisión mejorada en la Guía del usuario de Amazon RDS.
Gravedad: baja
Asegúrese de que la rotación de las CMK creadas por el cliente está habilitada.
Descripción: AWS Servicio de administración de claves (KMS) permite a los clientes rotar la clave de respaldo, que es el material clave almacenado dentro del KMS que está vinculado al identificador de clave de la clave maestra de cliente creada por el cliente (CMK). Es la clave de respaldo que se usa para realizar operaciones criptográficas, como el cifrado y descifrado. La rotación automatizada de claves conserva actualmente todas las claves de respaldo anteriores, para que el descifrado de datos cifrados pueda realizarse de forma transparente. Se recomienda habilitar la rotación de claves de CMK. La rotación de claves de cifrado ayuda a reducir el posible impacto de una clave en peligro, ya que no se puede acceder a los datos cifrados con una nueva clave con una clave anterior que podría haberse expuesto.
Gravedad: media
Asegúrese de que el registro de acceso al cubo de S3 esté habilitado en el cubo de S3 de CloudTrail
Descripción: el registro de acceso al cubo S3 genera un registro que contiene registros de acceso Asegurarse de que el registro de acceso al cubo de S3 está habilitado en el cubo de CloudTrail S3 para cada solicitud realizada en el cubo S3. Un registro de acceso contiene detalles sobre la solicitud, como el tipo de solicitud, los recursos especificados en la solicitud procesada y la hora y fecha en que se procesó la solicitud. Se recomienda habilitar el registro de acceso al cubo en el cubo de S3 de CloudTrail. Al habilitar el registro de cubos de S3 en depósitos S3 de destino, es posible capturar todos los eventos, lo que podría afectar a los objetos dentro de los cubos de destino. La configuración de registros para colocarlos en un cubo independiente permite el acceso a la información de registro, que puede ser útil en los flujos de trabajo de seguridad y respuesta a incidentes.
Gravedad: baja
Asegúrese de que el cubo de S3 que se usa para almacenar los registros de CloudTrail no sea accesible públicamente.
Descripción: CloudTrail registra un registro de cada llamada API realizada en su cuenta de AWS. Estos archivos de registro se almacenan en un cubo de S3. Se recomienda que la directiva de cubo o la lista de control de acceso (ACL) se apliquen al cubo S3 que Registra CloudTrail para evitar el acceso público a los registros de CloudTrail. Permitir el acceso público al contenido del registro de CloudTrail podría ayudar a un adversario a identificar puntos débiles en el uso o la configuración de la cuenta afectada.
Gravedad: alta
IAM no debe tener certificados SSL/TLS expirados
Descripción: esta comprobación identifica los certificados SSL/TLS expirados. Para habilitar las conexiones HTTPS a su sitio web o aplicación en AWS, necesita un certificado de servidor SSL/TLS. Puede usar ACM o IAM para almacenar e implementar certificados de servidor. La eliminación de certificados SSL/TLS expirados suprime el riesgo de que un certificado no válido se implemente accidentalmente en un recurso como AWS Elastic Load Balancer (ELB), lo que puede dañar la credibilidad de la aplicación o el sitio web que está detrás del ELB. Esta comprobación genera alertas si hay certificados SSL/TLS expirados almacenados en AWS IAM. Como procedimiento recomendado, se recomienda eliminar los certificados expirados.
Gravedad: alta
Los certificados de ACM importados deben renovarse después de un período de tiempo especificado.
Descripción: este control comprueba si los certificados ACM de la cuenta están marcados para su expiración en un plazo de 30 días. Comprueba los certificados importados y los certificados proporcionados por AWS Certificate Manager. ACM puede renovar automáticamente los certificados que usan la validación de DNS. Para los certificados que usan la validación por correo electrónico, debe responder a un correo electrónico de validación de dominio. ACM tampoco renueva automáticamente los certificados importados. Debe renovarlos manualmente. Para más información sobre la renovación administrada de certificados de ACM, vea Renovación administrada para certificados de ACM en la Guía del usuario de AWS Certificate Manager.
Gravedad: media
Se deben investigar las identidades sobreaprovisionadas en las cuentas para reducir el índice de autorización de permisos (PCI)
Descripción: las identidades sobreaprovisionadas en cuentas deben investigarse para reducir el Índice de creep de permisos (PCI) y para proteger la infraestructura. Reduzca el PCI quitando las asignaciones de permisos de alto riesgo sin usar. Pci elevado refleja el riesgo asociado a las identidades con permisos que superan su uso normal o necesario.
Gravedad: media
Las actualizaciones de versiones secundarias automáticas de RDS deben estar habilitadas.
Descripción: este control comprueba si las actualizaciones automáticas de versiones secundarias están habilitadas para la instancia de base de datos de RDS. La habilitación de actualizaciones automáticas de versiones secundarias garantiza la instalación de las últimas actualizaciones de versión secundaria del sistema de administración de bases de datos relacionales (RDBMS). Estas actualizaciones pueden incluir actualizaciones de seguridad y correcciones de errores. Mantenerse al día con la instalación de revisiones es un paso importante para proteger los sistemas.
Gravedad: alta
Las instantáneas de clúster y de base de datos de RDS deben cifrarse en reposo.
Descripción: este control comprueba si las instantáneas de base de datos de RDS están cifradas. Este control está pensado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para las instantáneas de instancias de base de datos de Aurora, instancias de base de datos de Hadas y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos. El cifrado de datos en reposo reduce el riesgo de que un usuario no autenticado obtenga acceso a los datos almacenados en el disco. Los datos de las instantáneas de RDS se deben cifrar en reposo para una capa de seguridad adicional.
Gravedad: media
Los clústeres de RDS deben tener habilitada la protección contra eliminación.
Descripción: este control comprueba si los clústeres de RDS tienen habilitada la protección de eliminación. Este control está pensado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para las instancias de base de datos de Aurora, instancias de base de datos de Hadas y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos. Habilitar la protección de eliminación de clústeres es otro nivel de protección contra la eliminación accidental de la base de datos o la eliminación por parte de una entidad no autorizada. Cuando se habilita la protección contra la eliminación, no se puede eliminar un clúster de RDS. Para que una solicitud de eliminación se pueda realizar correctamente, es necesario deshabilitar la protección contra la eliminación.
Gravedad: baja
Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad.
Descripción: los clústeres de base de datos de RDS deben configurarse para varios de los datos que se almacenan. La implementación en varias zonas de disponibilidad permite la automatización de estas para garantizar que la conmutación por error esté disponible incluso en caso de un problema de disponibilidad o durante el mantenimiento periódico de RDS.
Gravedad: media
Los clústeres de base de datos de RDS deben configurarse para copiar etiquetas en instantáneas.
Descripción: la identificación e inventario de los recursos de TI es un aspecto fundamental de la gobernanza y la seguridad. Debe tener visibilidad de todos los clústeres de base de datos de RDS para poder evaluar su posición de seguridad y actuar ante posibles puntos débiles. Las instantáneas se deben etiquetar de la misma manera que sus clústeres de bases de datos de RDS primarios. La habilitación de esta configuración garantiza que las instantáneas hereden las etiquetas de sus clústeres de base de datos primarios.
Gravedad: baja
Las instancias de base de datos de RDS deben configurarse para copiar etiquetas en instantáneas.
Descripción: este control comprueba si las instancias de base de datos de RDS están configuradas para copiar todas las etiquetas en instantáneas cuando se crean las instantáneas. La identificación y el inventario de los recursos de TI es un aspecto fundamental de la gobernanza y la seguridad. Debe tener visibilidad de todas las instancias de base de datos de RDS para poder evaluar su posición de seguridad y actuar ante posibles puntos débiles. Las instantáneas se deben etiquetar de la misma manera que sus instancias de bases de datos de RDS primarias. La habilitación de esta configuración garantiza que las instantáneas hereden las etiquetas de sus instancias de base de datos primarios.
Gravedad: baja
Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad.
Descripción: este control comprueba si la alta disponibilidad está habilitada para las instancias de base de datos de RDS. Las instancias de base de datos de RDS deben configurarse para varias zonas de disponibilidad. Esto garantiza la disponibilidad de los datos almacenados. Las implementaciones multi-AZ permiten la conmutación por error automatizada si hay un problema con la disponibilidad de la zona de disponibilidad y durante el mantenimiento normal de RDS.
Gravedad: media
Las instancias de base de datos de RDS deben tener habilitada la protección contra eliminación.
Descripción: este control comprueba si las instancias de base de datos de RDS que usan uno de los motores de base de datos enumerados tienen habilitada la protección de eliminación. Habilitar la protección de eliminación de instancias es otra capa de protección contra la eliminación accidental de la base de datos o la eliminación por parte de una entidad no autorizada. Mientras la protección contra eliminación está habilitada, no se puede eliminar una instancia de base de datos de RDS. Para que una solicitud de eliminación se pueda realizar correctamente, es necesario deshabilitar la protección contra la eliminación.
Gravedad: baja
Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo.
Descripción: este control comprueba si el cifrado de almacenamiento está habilitado para las instancias de base de datos de Amazon RDS. Este control está pensado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para las instancias de base de datos de Aurora, instancias de base de datos de Hadas y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos. Para obtener una capa de seguridad adicional para los datos confidenciales de las instancias de base de datos de RDS, debe configurarlas para que se cifren en reposo. Para cifrar las instancias e instantáneas de base de datos de RDS en reposo, habilite la opción de cifrado para las instancias de base de datos de RDS. Los datos cifrados en reposo incluyen el almacenamiento subyacente para las instancias de base de datos, sus copias de seguridad automatizadas, réplicas de lectura e instantáneas. Las instancias de base de datos cifradas de RDS usan el algoritmo de cifrado AES-256 estándar abierto para cifrar los datos en el servidor que hospeda las instancias de base de datos de RDS. Una vez cifrados los datos, Amazon RDS controla la autenticación del acceso y descifrado de los datos de forma transparente con un impacto mínimo en el rendimiento. No es necesario modificar las aplicaciones cliente de base de datos para usar el cifrado. El cifrado de Amazon RDS está disponible actualmente para todos los motores de base de datos y tipos de almacenamiento. El cifrado de Amazon RDS está disponible para la mayoría de las clases de instancia de base de datos. Para obtener información sobre las clases de instancia de base de datos que no admiten el cifrado de Amazon RDS, consulte Cifrado de recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
Gravedad: media
Las instancias de base de datos de RDS deben prohibir el acceso público.
Descripción: se recomienda asegurarse también de que el acceso a la configuración de la instancia de RDS solo está limitado a los usuarios autorizados, al restringir los permisos de IAM de los usuarios para modificar la configuración y los recursos de las instancias de RDS.
Gravedad: alta
Las instantáneas de RDS deben prohibir el acceso público.
Descripción: solo se recomienda permitir que las entidades de seguridad autorizadas accedan a la instantánea y cambien la configuración de Amazon RDS.
Gravedad: alta
Quitar secretos de Secrets Manager sin usar.
Descripción: este control comprueba si se ha accedido a los secretos en un número especificado de días. El valor predeterminado es 90 días. Si no se ha accedido a un secreto durante el número definido de días, se produce un error en este control. La eliminación de secretos sin usar es tan importante como la rotación de secretos. Los usuarios anteriores, que ya no necesitan acceder a estos secretos, pueden abusar de los secretos sin usar. Además, a medida que más usuarios obtienen acceso a un secreto, es posible que alguien lo haya manipulado incorrectamente y lo haya filtrado a una entidad no autorizada, lo que aumenta el riesgo de abuso. La eliminación de secretos sin usar ayuda a revocar el acceso al secreto a los usuarios que ya no lo necesitan. También ayuda a reducir el costo del uso del Administrador de secretos. Por lo tanto, es esencial eliminar periódicamente los secretos sin usar.
Gravedad: media
Los cubos de S3 deben tener habilitada la replicación entre regiones.
Descripción: habilitar la replicación entre regiones de S3 garantiza que hay varias versiones de los datos disponibles en diferentes regiones. Esto le permite proteger el cubo de S3 frente a ataques DDoS y a eventos de datos dañados.
Gravedad: baja
Los cubos de S3 deben tener habilitado el cifrado del lado servidor.
Descripción: habilite el cifrado del lado servidor para proteger los datos en los cubos de S3. El cifrado de los datos puede impedir el acceso a datos confidenciales en caso de una vulneración de datos.
Gravedad: media
Los secretos del Administrador de secretos configurados con el cambio automático deben cambiarse correctamente.
Descripción: este control comprueba si un secreto de AWS Secrets Manager gira correctamente en función de la programación de rotación. Se produce un error en el control si RotationOccurringAsScheduled es false. El control no evalúa los secretos que no tienen configurada la rotación. Secrets Manager le ayuda a mejorar la posición de seguridad de su organización. Los secretos incluyen credenciales de base de datos, contraseñas y claves de API de terceros. Puede usar Secrets Manager para almacenar secretos de forma centralizada, cifrar secretos automáticamente, controlar el acceso a los secretos y rotar secretos de forma segura y automática. Secrets Manager puede rotar los secretos. Puede usar la rotación para reemplazar secretos a largo plazo por otros a corto plazo. La rotación de secretos limita cuánto tiempo un usuario no autorizado puede usar un secreto en peligro. Por este motivo, debe rotar los secretos con frecuencia. Además de configurar los secretos para que se roten automáticamente, debe asegurarse de que esos secretos rotan correctamente en función de la programación de rotación. Para más información sobre la rotación, vea Rotar secretos de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager.
Gravedad: media
Los secretos de Secrets Manager deben rotarse en un número especificado de días.
Descripción: este control comprueba si los secretos se han girado al menos una vez en un plazo de 90 días. La rotación de secretos puede ayudarle a reducir el riesgo de un uso no autorizado de los secretos en su cuenta de AWS. Algunos ejemplos son credenciales de base de datos, contraseñas, claves de API de terceros e incluso texto arbitrario. Si no cambia los secretos durante un largo período de tiempo, es más probable que los secretos estén en peligro. Mientras más usuarios obtengan acceso a un secreto, más probabilidad habrá de que alguien lo manipule incorrectamente y lo filtre a alguna entidad no autorizada. Los secretos se pueden filtrar a través de registros y datos de caché. Se pueden compartir con fines de depuración y no cambiarse ni revocarse una vez completada la depuración. Por todas estas razones, los secretos se deben rotar con frecuencia. Puede configurar los secretos para la rotación automática en AWS Secrets Manager. Con la rotación automática, puede reemplazar secretos a largo plazo por otros a corto plazo, lo que reduce significativamente el riesgo de vulneración. Security Hub recomienda habilitar la rotación de los secretos de Secrets Manager. Para más información sobre la rotación, vea Rotar secretos de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager.
Gravedad: media
Los temas de SNS deben cifrarse en reposo mediante AWS KMS.
Descripción: este control comprueba si un tema de SNS está cifrado en reposo mediante AWS KMS. El cifrado de datos en reposo reduce el riesgo de que un usuario no autenticado en AWS acceda a los datos almacenados en disco. Esto también agrega otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para descifrar los datos antes de que se puedan leer. Los temas de SNS deben cifrarse en reposo para una capa de seguridad adicional. Para más información, vea Cifrado en reposo en la Guía para desarrolladores de Amazon Simple Notification Service.
Gravedad: media
El registro de flujo de VPC debe estar habilitado en todos los VPC.
Descripción: Los registros de flujo de VPC proporcionan visibilidad sobre el tráfico de red que pasa a través de la VPC y se pueden usar para detectar tráfico anómalo o información durante los eventos de seguridad.
Gravedad: media
Recomendaciones de AWS IdentityAndAccess
Los dominios de Amazon Elasticsearch Service deben estar en un VPC.
Descripción: VPC no puede contener dominios con un punto de conexión público. Nota: Esto no evalúa la configuración de enrutamiento de subred de VPC para determinar la accesibilidad pública.
Gravedad: alta
Se deben restringir los permisos de Amazon S3 concedidos a otras cuentas de AWS en las directivas de cubo.
Descripción: la implementación del acceso con privilegios mínimos es fundamental para reducir el riesgo de seguridad y el impacto de errores o intenciones malintencionadas. Si una directiva para los cubos de S3 permite el acceso desde cuentas externas, podría provocar la filtración de datos por una amenaza interna o un atacante. El parámetro "blacklistedactionpatterns" permite una evaluación correcta de la regla para los cubos de S3. El parámetro concede acceso a cuentas externas para patrones de acción que no se incluyen en la lista "blacklistedactionpatterns".
Gravedad: alta
Permite evitar el uso de la cuenta "raíz".
Descripción: la cuenta "raíz" tiene acceso sin restricciones a todos los recursos de la cuenta de AWS. Se recomienda encarecidamente evitar el uso de esta cuenta. La cuenta "raíz" es la cuenta de AWS con más privilegios. Minimizar el uso de esta cuenta y adoptar el principio de privilegios mínimos para la administración de acceso reducirá el riesgo de cambios accidentales y la divulgación no intencionada de credenciales con privilegios elevados.
Gravedad: alta
Las claves KMS de AWS no se deben eliminar involuntariamente.
Descripción: este control comprueba si las claves de KMS están programadas para su eliminación. Este control genera un error si una clave de KMS está programada para su eliminación. Las claves de KMS no se pueden recuperar una vez eliminadas. Los datos cifrados con una clave de KMS también son irrecuperables permanentemente si se elimina la clave de KMS. Si los datos significativos se han cifrado con una clave KMS programada para su eliminación, considere la posibilidad de descifrar los datos o volver a cifrar los datos en una nueva clave de KMS a menos que realice intencionadamente una eliminación criptográfica. Cuando una clave de KMS está programada para su eliminación, se aplica un período de espera obligatorio para permitir el tiempo de revertir la eliminación, si se programó por error. El período de espera predeterminado es de 30 días, pero se puede reducir a tan poco como siete días cuando la clave kmS está programada para su eliminación. Durante el período de espera, se puede cancelar la eliminación programada y no se eliminará la clave KMS. Para obtener más información sobre la eliminación de claves de KMS, consulte Eliminación de claves de KMS en la Guía para desarrolladores de AWS Servicio de administración de claves.
Gravedad: alta
El registro de ACL web global de AWS WAF Classic debe estar habilitado.
Descripción: este control comprueba si el registro está habilitado para una ACL web global de AWS WAF. Este control produce un error si el registro no está habilitado para la ACL web. El registro es una parte importante del mantenimiento de la confiabilidad, la disponibilidad y el rendimiento de AWS WAF globalmente. Es un requisito empresarial y de cumplimiento en muchas organizaciones y le permite solucionar problemas de comportamiento de la aplicación. También proporciona información detallada sobre el tráfico que analiza la ACL web asociada a AWS WAF.
Gravedad: media
Las distribuciones de CloudFront deben tener configurado un objeto raíz predeterminado.
Descripción: este control comprueba si una distribución de Amazon CloudFront está configurada para devolver un objeto específico que es el objeto raíz predeterminado. El control produce un error si la distribución de CloudFront no tiene configurado un objeto raíz predeterminado. A veces, un usuario puede solicitar la dirección URL raíz de las distribuciones en lugar de un objeto de la distribución. Cuando esto sucede, especificar un objeto raíz predeterminado puede ayudarle a evitar exponer el contenido de la distribución web.
Gravedad: alta
Las distribuciones de CloudFront deben tener habilitada la identidad de acceso de origen.
Descripción: este control comprueba si una distribución de Amazon CloudFront con el tipo de origen de Amazon S3 tiene configurada Origin Access Identity (OAI). Se produce un error en el control si OAI no está configurado. OAI de CloudFront impide que los usuarios accedan directamente al contenido del cubo de S3. Cuando los usuarios acceden directamente a un cubo de S3, omiten de forma eficaz la distribución de CloudFront y los permisos que se aplican al contenido del cubo de S3 subyacente.
Gravedad: media
La validación del archivo de registro de CloudTrail debe estar habilitada.
Descripción: para garantizar la comprobación de integridad adicional de los registros de CloudTrail, se recomienda habilitar la validación de archivos en todos los cloudTrails.
Gravedad: baja
CloudTrail debe estar habilitado.
Descripción: AWS CloudTrail es un servicio web que registra las llamadas a la API de AWS para su cuenta y le entrega archivos de registro. No todos los servicios habilitan el registro de forma predeterminada para todas las API y los eventos. Debe implementar cualquier pista de auditoría adicional que no sea CloudTrail y revisar la documentación de cada servicio en Integraciones y servicios admitidos de CloudTrail.
Gravedad: alta
Los registros de seguimiento de CloudTrail deben estar integrados con CloudWatch Logs.
Descripción: además de capturar registros de CloudTrail dentro de un cubo S3 especificado para el análisis a largo plazo, el análisis en tiempo real se puede realizar configurando CloudTrail para enviar registros a CloudWatch Logs. Para una pista que está habilitada en todas las regiones de una cuenta, CloudTrail envía archivos de registro de todas esas regiones a un grupo de registros de CloudWatch Logs. Se recomienda que los registros de CloudTrail se envíen a CloudWatch Logs para asegurarse de que la actividad de la cuenta de AWS se captura, supervisa y notifica correctamente. El envío de registros de CloudTrail a CloudWatch Logs facilita el registro de actividad histórico y en tiempo real en función del usuario, la API, el recurso y la dirección IP, y brinda la oportunidad de establecer alarmas y notificaciones para la actividad anómala o de la cuenta de confidencialidad.
Gravedad: baja
El registro de bases de datos debe estar habilitado.
Descripción: este control comprueba si los siguientes registros de Amazon RDS están habilitados y se envían a CloudWatch Logs:
- Oracle: (Alert, Audit, Trace, Listener)
- PostgreSQL: (Postgresql, Actualización)
- MySQL: (Auditoría, Error, General, SlowQuery)
- MariaDB: (Audit, Error, General, SlowQuery)
- SQL Server: (Error, Agente)
- Aurora: (Audit, Error, General, SlowQuery)
- Aurora-MySQL: (Auditoría, Error, General, SlowQuery)
- Aurora-PostgreSQL: (Postgresql, Upgrade). Las bases de datos de RDS deben tener habilitados los registros pertinentes. El registro de base de datos proporciona registros detallados de las solicitudes realizadas a RDS. Los registros de base de datos pueden ayudar con las auditorías de seguridad y acceso, así como con el diagnóstico de problemas de disponibilidad.
Gravedad: media
Deshabilitar el acceso directo a Internet para las instancias de cuaderno de Amazon SageMaker.
Descripción: el acceso directo a Internet debe deshabilitarse para una instancia de bloc de notas de SageMaker. Esto comprueba si el campo "DirectInternetAccess" está deshabilitado para la instancia del cuaderno. La instancia debe configurarse con una VPC y la configuración predeterminada debe ser Deshabilitar: acceso a Internet a través de una VPC. Para habilitar el acceso a Internet para entrenar u hospedar modelos desde un cuaderno, asegúrese de que la VPC tiene NAT Gateway y que el grupo de seguridad permite conexiones salientes. Asegúrese de que el acceso a la configuración de SageMaker está limitado solo a los usuarios autorizados y restrinja los permisos IAM de los usuarios para modificar la configuración y los recursos de SageMaker.
Gravedad: alta
No configure claves de acceso durante la configuración de usuario inicial para todos los usuarios de IAM que tengan una contraseña de consola.
Descripción: la consola de AWS tiene como valor predeterminado la casilla para crear claves de acceso a habilitadas. Esto provoca que muchas claves de acceso se generen innecesariamente. Además de las credenciales innecesarias, también genera un trabajo de administración innecesario en la auditoría y rotación de estas claves. Requerir que el usuario realice pasos adicionales después de crear su perfil proporcionará una indicación más sólida de la intención de que las claves de acceso sean [a] necesarias para su trabajo y [b] una vez establecida la clave de acceso en una cuenta que las claves podrían estar en uso en algún lugar de la organización.
Gravedad: media
Asegúrese de que se haya creado un rol de soporte técnico para administrar los incidentes con el soporte técnico de AWS.
Descripción: AWS proporciona un centro de soporte técnico que se puede usar para la notificación y respuesta a incidentes, así como el soporte técnico y los servicios de atención al cliente. Cree un rol IAM para permitir a los usuarios autorizados administrar incidentes con el soporte técnico de AWS. Al implementar privilegios mínimos para el control de acceso, un rol de IAM requiere una directiva de IAM adecuada para permitir el acceso al Centro de soporte técnico para administrar incidentes con soporte técnico de AWS.
Gravedad: baja
Asegúrese de que las claves de acceso cambian cada 90 días o menos.
Descripción: las claves de acceso constan de un identificador de clave de acceso y una clave de acceso secreta, que se usan para firmar solicitudes mediante programación que realice en AWS. Los usuarios de AWS necesitan sus propias claves de acceso para realizar llamadas mediante programación a AWS desde la interfaz de la línea de comandos de AWS (CLI de AWS), herramientas para Windows PowerShell, los SDK de AWS o llamadas HTTP directas mediante las API para servicios individuales de AWS. Se recomienda que todas las claves de acceso se giren periódicamente. La rotación de claves de acceso reduce la ventana de oportunidad de una clave de acceso asociada a una cuenta en peligro o terminada que se va a usar. Las claves de acceso deben rotarse para asegurarse de que no se puede acceder a los datos con una clave antigua, que podría haberse perdido, descifrado o robado.
Gravedad: media
Asegúrese de que AWS Config está habilitado en todas las regiones.
Descripción: AWS Config es un servicio web que realiza la administración de la configuración de los recursos de AWS admitidos dentro de su cuenta y le entrega archivos de registro. La información registrada incluye el elemento de configuración (recurso de AWS), las relaciones entre los elementos de configuración (recursos de AWS) y los cambios de configuración entre los recursos. Se recomienda habilitar AWS Config en todas las regiones.
El historial de elementos de configuración de AWS capturado por AWS Config permite el análisis de seguridad, el seguimiento de cambios de recursos y la auditoría de cumplimiento.
Gravedad: media
Asegúrese de que CloudTrail está habilitado en todas las regiones.
Descripción: AWS CloudTrail es un servicio web que registra las llamadas a la API de AWS para su cuenta y le entrega archivos de registro. La información registrada incluye la identidad del autor de la llamada API, la hora de la llamada API, la dirección IP de origen del autor de la llamada API, los parámetros de solicitud y los elementos de respuesta devueltos por el servicio AWS. CloudTrail proporciona un historial de llamadas API de AWS para una cuenta, incluidas las llamadas API realizadas a través de la consola de administración, los SDK, las herramientas de línea de comandos y los servicios de AWS de nivel superior (como CloudTrail). El historial de llamadas API de AWS generado por CloudTrail permite el análisis de seguridad, el seguimiento de cambios de recursos y la auditoría de cumplimiento. Además:
- Asegurarse de que existe un rastro de varias regiones garantizará que se detecte una actividad inesperada en regiones que no se usen
- Asegurarse de que existe un rastro de varias regiones garantizará que "Registro de servicios globales" esté habilitado para un final de forma predeterminada para capturar la grabación de eventos generados en los servicios globales de AWS.
- para una pista de varias regiones, garantizando que los eventos de administración configurados para todo tipo de lectura y escritura garantizan la grabación de las operaciones de administración que se realizan en todos los recursos de una cuenta de AWS.
Gravedad: alta
Asegúrese de que las credenciales no utilizadas durante 90 días o más estén deshabilitadas.
Descripción: los usuarios de AWS IAM pueden acceder a los recursos de AWS mediante diferentes tipos de credenciales, como contraseñas o claves de acceso. Se recomienda quitar o desactivar todas las credenciales que no se hanusado en 90 o posteriores días. Al deshabilitar o quitar credenciales innecesarias, se reduce la ventana de oportunidad de las credenciales asociadas a una cuenta en peligro o abandonada que se va a usar.
Gravedad: media
Asegúrese de que la directiva de contraseñas de IAM expire las contraseñas en un plazo máximo de 90 días.
Descripción: las directivas de contraseña de IAM pueden requerir que las contraseñas se rotan o expiren después de un número determinado de días. Se recomienda que la directiva de contraseña expire las contraseñas después de 90 días o menos. La reducción de la vigencia de la contraseña aumenta la resistencia de la cuenta frente a los intentos de inicio de sesión por fuerza bruta. Además, requerir cambios de contraseña periódicos ayuda en los escenarios siguientes:
- Las contraseñas se pueden robar o poner en peligro a veces sin su conocimiento. Esto puede ocurrir por un riesgo del sistema, una vulnerabilidad de software o una amenaza interna.
- Ciertos filtros web corporativos y gubernamentales o servidores proxy tienen la capacidad de interceptar y registrar el tráfico incluso si está cifrado.
- Muchas personas usan la misma contraseña para muchos sistemas, como trabajo, correo electrónico y personal.
- Es posible que las estaciones de trabajo del usuario final en peligro tengan un registrador de pulsaciones de teclas.
Gravedad: baja
Asegúrese de que la política de contraseñas de IAM impide la reutilización de contraseñas.
Descripción: las directivas de contraseña de IAM pueden impedir la reutilización de una contraseña determinada por el mismo usuario. Se recomienda que la directiva de contraseña impida la reutilización de contraseñas. La reducción de la vigencia de la contraseña aumenta la resistencia de la cuenta frente a los intentos de inicio de sesión por fuerza bruta.
Gravedad: baja
Asegúrese de que la directiva de contraseñas de IAM requiere al menos una letra minúscula.
Descripción: las directivas de contraseña se usan, en parte, para aplicar los requisitos de complejidad de contraseñas. Las directivas de contraseña de IAM se pueden usar para asegurarse de que la contraseña se compone de diferentes juegos de caracteres. Se recomienda que la directiva de contraseña requiera al menos una letra minúscula. Establecer una directiva de complejidad de contraseña aumenta la resistencia de la cuenta frente a los intentos de inicio de sesión por fuerza bruta.
Gravedad: media
Asegúrese de que la directiva de contraseñas de IAM requiera al menos un número.
Descripción: las directivas de contraseña se usan, en parte, para aplicar los requisitos de complejidad de contraseñas. Las directivas de contraseña de IAM se pueden usar para asegurarse de que la contraseña se compone de diferentes juegos de caracteres. Se recomienda que la directiva de contraseñas requiera al menos un número. Establecer una directiva de complejidad de contraseña aumenta la resistencia de la cuenta frente a los intentos de inicio de sesión por fuerza bruta.
Gravedad: media
Asegúrese de que la directiva de contraseñas de IAM requiere al menos un símbolo.
Descripción: las directivas de contraseña se usan, en parte, para aplicar los requisitos de complejidad de contraseñas. Las directivas de contraseña de IAM se pueden usar para asegurarse de que la contraseña se compone de diferentes juegos de caracteres. Se recomienda que la directiva de contraseñas requiera al menos un símbolo. Establecer una directiva de complejidad de contraseña aumenta la resistencia de la cuenta frente a los intentos de inicio de sesión por fuerza bruta.
Gravedad: media
Asegúrese de que la directiva de contraseñas de IAM requiere al menos una letra mayúscula.
Descripción: las directivas de contraseña se usan, en parte, para aplicar los requisitos de complejidad de contraseñas. Las directivas de contraseña de IAM se pueden usar para asegurarse de que la contraseña se compone de diferentes juegos de caracteres. Se recomienda que la directiva de contraseña requiera al menos una letra mayúscula. Establecer una directiva de complejidad de contraseña aumenta la resistencia de la cuenta frente a los intentos de inicio de sesión por fuerza bruta.
Gravedad: media
Asegúrese de que la directiva de contraseñas de IAM requiere una longitud mínima de 14 caracteres.
Descripción: las directivas de contraseña se usan, en parte, para aplicar los requisitos de complejidad de contraseñas. Las directivas de contraseñas de IAM se pueden usar para asegurarse de que la contraseña tenga al menos una longitud determinada. Se recomienda que la directiva de contraseña requiera una longitud mínima de contraseña "14". Establecer una directiva de complejidad de contraseña aumenta la resistencia de la cuenta frente a los intentos de inicio de sesión por fuerza bruta.
Gravedad: media
Asegúrese de que la autenticación multifactor (MFA) esté habilitada para todos los usuarios de IAM que tengan una contraseña de consola.
Descripción: La autenticación multifactor (MFA) agrega una capa adicional de protección sobre un nombre de usuario y una contraseña. Con MFA habilitado, cuando un usuario inicie sesión en un sitio web de AWS, se le pedirá su nombre de usuario y contraseña, así como un código de autenticación desde su dispositivo AWS MFA. Se recomienda habilitar MFA para todas las cuentas que tengan una contraseña de consola. Habilitar MFA proporciona mayor seguridad para el acceso a la consola, ya que requiere que la entidad de seguridad de autenticación posea un dispositivo que emita una clave sujeta a limitación temporal y tenga conocimiento de una credencial.
Gravedad: media
GuardDuty debe estar habilitado.
Descripción: Para proporcionar protección adicional contra intrusiones, GuardDuty debe estar habilitado en su cuenta y región de AWS. Nota: Es posible que GuardDuty no sea una solución completa para cada entorno.
Gravedad: media
La MFA de hardware debe estar habilitada para la cuenta "raíz".
Descripción: la cuenta raíz es el usuario con más privilegios de una cuenta. MFA agrega una capa adicional de protección sobre un nombre de usuario y una contraseña. Con MFA habilitado, cuando un usuario inicia sesión en un sitio web de AWS, se le pedirá su nombre de usuario y contraseña, así como un código de autenticación desde su dispositivo AWS MFA. Para el nivel 2, se recomienda proteger la cuenta raíz con una MFA de hardware. MFA de hardware tiene una superficie de ataque más pequeña que una MFA virtual. Por ejemplo, MFA de hardware no tiene la superficie de ataque a la que está expuesto un smartphone en el que reside una MFA virtual. El uso de MFA de hardware para muchas cuentas podría plantear un problema de administración de dispositivos. Si esto ocurre, considere la posibilidad de implementar esta recomendación de nivel 2 de forma selectiva en las cuentas de mayor seguridad. A continuación, puede aplicar la recomendación de nivel 1 a las cuentas restantes.
Gravedad: baja
La autenticación de IAM debe configurarse para clústeres de RDS.
Descripción: este control comprueba si un clúster de base de datos de RDS tiene habilitada la autenticación de base de datos IAM. La autenticación de base de datos IAM permite la autenticación sin contraseña en las instancias de base de datos. La autenticación usa un token de autenticación. El tráfico de red hacia y desde la base de datos se cifra mediante SSL. Para más información, vea Autenticación de bases de datos de IAM en la Guía del usuario de Amazon Aurora.
Gravedad: media
La autenticación de IAM debe configurarse para las instancias de RDS.
Descripción: este control comprueba si una instancia de base de datos de RDS tiene habilitada la autenticación de base de datos IAM. La autenticación de base de datos de IAM permite la autenticación en instancias de base de datos con un token de autenticación en lugar de una contraseña. El tráfico de red hacia y desde la base de datos se cifra mediante SSL. Para más información, vea Autenticación de bases de datos de IAM en la Guía del usuario de Amazon Aurora.
Gravedad: media
Las directivas administradas por el cliente de IAM no deben permitir acciones de descifrado en todas las claves de KMS.
Descripción: comprueba si la versión predeterminada de las directivas administradas por el cliente de IAM permite a las entidades de seguridad usar las acciones de descifrado de AWS KMS en todos los recursos. Este control usa Zelkova, un motor de razonamiento automatizado, para validar y advertirle de las directivas que podrían conceder acceso amplio a los secretos en todas las cuentas de AWS. Este control produce un error si se permiten las acciones "kms:Decrypt" o "kms:ReEncryptFrom" en todas las claves de KMS. El control evalúa las directivas administradas por el cliente adjuntas y no adjuntas. No comprueba las directivas insertadas ni las directivas administradas de AWS. Con AWS KMS, puede controlar quién puede usar las claves de KMS y obtener acceso a los datos cifrados. Las directivas de IAM definen qué acciones puede realizar una identidad (usuario, grupo o rol) en qué recursos. Siguiendo los procedimientos recomendados de seguridad, AWS recomienda permitir privilegios mínimos. En otras palabras, debe conceder a las identidades solo los permisos "kms:Decrypt" o "kms:ReEncryptFrom" y solo para las claves necesarias para realizar una tarea. De lo contrario, el usuario podría usar claves que no son adecuadas para los datos. En lugar de conceder permisos para todas las claves, determine el conjunto mínimo de claves que los usuarios necesitan para acceder a los datos cifrados. A continuación, diseñe directivas que permitan a los usuarios emplear solo esas claves. Por ejemplo, no permita el permiso "kms:Decrypt" en todas las claves de KMS. En su lugar, conceda el permiso "kms:Decrypt" solo en las claves de una región determinada para su cuenta. Al adoptar el principio de privilegios mínimos, puede reducir el riesgo de divulgación involuntaria de los datos.
Gravedad: media
Las directivas de administración de cliente de IAM que cree no deben permitir acciones con carácter comodín para los servicios.
Descripción: este control comprueba si las directivas basadas en identidades de IAM que se crean tienen instrucciones Allow que usan el carácter comodín * para conceder permisos para todas las acciones de cualquier servicio. Se produce un error en el control si alguna instrucción de directiva incluye 'Effect': 'Allow' con 'Action': 'Service:*'. Por ejemplo, la siguiente instrucción de una directiva genera un error de búsqueda.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:*',
'Resource': '*'
}
El control también produce un error si usa "Effect": "Allow" con "NotAction": "service:". En ese caso, el elemento NotAction proporciona acceso a todas las acciones de un servicio de AWS, excepto las acciones especificadas en NotAction. Este control solo se aplica a las directivas de IAM administradas por el cliente. No se aplica a las directivas de IAM administradas por AWS. Al asignar permisos a los servicios de AWS, es importante definir el ámbito de las acciones de IAM permitidas en las directivas de IAM. Debe restringir las acciones de IAM solo a las acciones necesarias. Esto le ayuda a aprovisionar permisos con privilegios mínimos. Las directivas excesivamente permisivas pueden dar lugar a la elevación de privilegios si las directivas están asociadas a una entidad de seguridad de IAM que podría no requerir el permiso. En algunos casos, es posible que desee permitir acciones de IAM que tengan un prefijo similar, como DescribeFlowLogs y DescribeAvailabilityZones. En estos casos autorizados, puede agregar un comodín con sufijo al prefijo común. Por ejemplo, ec2:Describe.
Este control se pasa si usa una acción de IAM con prefijo que tenga un carácter comodín con sufijo. Por ejemplo, la siguiente instrucción de una directiva genera una búsqueda correcta.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:Describe*',
'Resource': '*'
}
Al agrupar las acciones de IAM relacionadas de esta manera, también puede evitar superar los límites de tamaño de la directiva de IAM.
Gravedad: baja
Asegúrese de que las directivas de IAM se asocian solo a grupos o roles.
Descripción: de forma predeterminada, los usuarios, grupos y roles de IAM no tienen acceso a los recursos de AWS. Las directivas de IAM son los medios por los que se conceden privilegios a los usuarios, grupos o roles. Se recomienda aplicar directivas de IAM directamente a grupos y roles, pero no a los usuarios. La asignación de privilegios en el nivel de grupo o rol reduce la complejidad de la administración de acceso a medida que aumenta el número de usuarios. Reducir la complejidad de la administración de acceso puede reducir a su vez la oportunidad de que una entidad de seguridad reciba o conserve accidentalmente privilegios excesivos.
Gravedad: baja
Asegúrese de que no se creen directivas de IAM que concedan privilegios administrativos ":" completos
Descripción: las directivas de IAM son los medios por los que se conceden privilegios a usuarios, grupos o roles. Se recomienda y se considera un consejo de seguridad estándar para conceder privilegios mínimos, es decir, conceder solo los permisos necesarios para realizar una tarea. Determine qué deben hacer los usuarios y, a continuación, cree directivas para ellos que permitan a los usuarios realizar solo esas tareas, en lugar de conceder privilegios administrativos completos. Es más seguro empezar con un conjunto mínimo de permisos y conceder permisos adicionales según sea necesario, en lugar de empezar con permisos demasiado flexibles y, a continuación, intentar reforzarlos más adelante. Proporcionar privilegios administrativos completos en lugar de restringir al conjunto mínimo de permisos para lo que el usuario debe hacer expone los recursos a acciones potencialmente no deseadas. Las directivas de IAM que tienen una instrucción con "Effect": "Allow" con "Action": "" sobre "Resource": "" se deben quitar.
Gravedad: alta
Las entidades de seguridad de IAM no deben tener directivas insertadas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS.
Descripción: comprueba si las directivas insertadas que están insertadas en las identidades de IAM (rol, usuario o grupo) permiten las acciones de descifrado de AWS KMS en todas las claves de KMS. Este control usa Zelkova, un motor de razonamiento automatizado, para validar y advertirle de las directivas que podrían conceder acceso amplio a los secretos en todas las cuentas de AWS. Se produce un error en este control si se permiten acciones "kms:Decrypt" o "kms:ReEncryptFrom" en todas las claves de KMS en una directiva alineada. Con AWS KMS, puede controlar quién puede usar las claves de KMS y obtener acceso a los datos cifrados. Las directivas de IAM definen qué acciones puede realizar una identidad (usuario, grupo o rol) en qué recursos. Siguiendo los procedimientos recomendados de seguridad, AWS recomienda permitir privilegios mínimos. En otras palabras, debe conceder a las identidades solo los permisos que necesitan y solo para las claves necesarias para realizar una tarea. De lo contrario, el usuario podría usar claves que no son adecuadas para los datos. En lugar de conceder un permiso para todas las claves, determine el conjunto mínimo de claves que los usuarios necesitan para acceder a los datos cifrados. A continuación, diseñe directivas que permitan a los usuarios emplear solo esas claves. Por ejemplo, no permita el permiso "kms:Decrypt" en todas las claves de KMS. En su lugar, concédales el permiso solo en las claves de una región determinada para su cuenta. Al adoptar el principio de privilegios mínimos, puede reducir el riesgo de divulgación involuntaria de los datos.
Gravedad: media
Las funciones lambda deben restringir el acceso público.
Descripción: la directiva basada en recursos de función lambda debe restringir el acceso público. Esta recomendación no comprueba el acceso por entidades de seguridad internas. Asegúrese de que el acceso a la función está restringido a entidades de seguridad autorizadas solo mediante directivas basadas en recursos con privilegios mínimos.
Gravedad: alta
La MFA debe estar habilitada para todos los usuarios de IAM.
Descripción: todos los usuarios de IAM deben tener habilitada la autenticación multifactor (MFA).
Gravedad: media
La MFA debe estar habilitada para la cuenta "raíz".
Descripción: la cuenta raíz es el usuario con más privilegios de una cuenta. MFA agrega una capa adicional de protección sobre un nombre de usuario y una contraseña. Con MFA habilitado, cuando un usuario inicia sesión en un sitio web de AWS, se le pedirá su nombre de usuario y contraseña, así como un código de autenticación desde su dispositivo AWS MFA. Cuando se usa MFA virtual para las cuentas raíz, se recomienda que el dispositivo usado no sea un dispositivo personal. En su lugar, use un dispositivo móvil dedicado (tableta o teléfono) que administre para mantenerlo cargado y protegido independientemente de cualquier dispositivo personal individual. Esto reduce los riesgos de perder el acceso a la MFA debido a la pérdida del dispositivo, al cambio de dispositivos o a que el propietario del dispositivo ya no se encuentre en la empresa.
Gravedad: baja
Las directivas de contraseña para los usuarios de IAM deben tener configuraciones seguras.
Descripción: comprueba si la directiva de contraseñas de cuenta para los usuarios de IAM usa las siguientes configuraciones mínimas.
- RequireUppercaseCharacters: requiere al menos un carácter en mayúsculas en la contraseña. (El valor predeterminado es true)
- RequireLowercaseCharacters: requiere al menos un carácter en minúsculas en la contraseña. (El valor predeterminado es true)
- RequireNumbers: requerir al menos un número en la contraseña. (El valor predeterminado es true)
- MinimumPasswordLength: longitud mínima de contraseña. (Valor predeterminado = 7 o más)
- PasswordReusePrevention: número de contraseñas antes de permitir la reutilización. (Valor predeterminado = 4)
- MaxPasswordAge: número de días antes de la expiración de la contraseña. (Valor predeterminado = 90)
Gravedad: media
La clave de acceso a la cuenta raíz no debe existir.
Descripción: la cuenta raíz es el usuario con más privilegios de una cuenta de AWS. Las claves de acceso de AWS proporcionan acceso mediante programación a una cuenta de AWS determinada. Se recomienda quitar todas las claves de acceso asociadas a la cuenta raíz. La eliminación de las claves de acceso asociadas a la cuenta raíz limita los vectores que pueden poner en peligro la cuenta. Además, la eliminación de las claves de acceso raíz fomenta la creación y el uso de cuentas basadas en roles con privilegios mínimos.
Gravedad: alta
La configuración de bloqueo de acceso público de S3 debe estar habilitada.
Descripción: habilitar la opción Bloquear acceso público para el cubo de S3 puede ayudar a evitar pérdidas de datos confidenciales y proteger el cubo de acciones malintencionadas.
Gravedad: media
La configuración de bloqueo de acceso público de S3 debe estar habilitada en el nivel de cubo.
Descripción: este control comprueba si los cubos de S3 tienen bloques de acceso público de nivel de cubo aplicados. Este control produce un error si alguna de las siguientes opciones de configuración se establece en false:
- ignorePublicAcls
- blockPublicPolicy
- blockPublicAcls
- restrictPublicBuckets Bloquear el acceso público en el nivel de cubo S3 proporciona controles para asegurarse de que los objetos nunca tienen acceso público. El acceso público se concede a los cubos y objetos a través de listas de control de acceso (ACL), directivas de cubo o ambos. A menos que quiera que los cubos de S3 sean accesibles públicamente, debe configurar la característica Bloquear acceso público de Amazon S3 a nivel de cubo.
Gravedad: alta
Se debe quitar el acceso de lectura público de los cubos de S3.
Descripción: quitar el acceso de lectura público al cubo de S3 puede ayudar a proteger los datos y evitar una vulneración de datos.
Gravedad: alta
Se debe quitar el acceso de escritura público de los cubos de S3.
Descripción: permitir el acceso de escritura pública a su cubo de S3 puede dejarle vulnerable a acciones malintencionadas, como almacenar datos a su costa, cifrar los archivos por rescate o usar su cubo para operar con malware.
Gravedad: alta
Los secretos de Secrets Manager deben tener habilitada la rotación automática.
Descripción: este control comprueba si un secreto almacenado en AWS Secrets Manager está configurado con rotación automática. Secrets Manager le ayuda a mejorar la posición de seguridad de su organización. Los secretos incluyen credenciales de base de datos, contraseñas y claves de API de terceros. Puede usar Secrets Manager para almacenar secretos de forma centralizada, cifrar secretos automáticamente, controlar el acceso a los secretos y rotar secretos de forma segura y automática. Secrets Manager puede rotar los secretos. Puede usar la rotación para reemplazar secretos a largo plazo por otros a corto plazo. La rotación de secretos limita cuánto tiempo un usuario no autorizado puede usar un secreto en peligro. Por este motivo, debe rotar los secretos con frecuencia. Para más información sobre la rotación, vea Rotar secretos de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager.
Gravedad: media
Las instancias de EC2 detenidas deben quitarse después de un período de tiempo especificado.
Descripción: este control comprueba si se han detenido instancias EC2 durante más de los días permitidos. Una instancia ec2 produce un error en esta comprobación si se detiene durante más tiempo que el período de tiempo máximo permitido, que de forma predeterminada es de 30 días. Un error de búsqueda indica que una instancia de EC2 no se ha ejecutado durante un período de tiempo significativo. Esto crea un riesgo de seguridad porque la instancia ec2 no se mantiene activamente (analizada, revisada, actualizada). Si se inicia más adelante, la falta de mantenimiento adecuado podría dar lugar a problemas inesperados en su entorno de AWS. Para mantener de forma segura una instancia de EC2 a lo largo del tiempo en un estado de no ejecución, iníciela periódicamente para el mantenimiento y, a continuación, deténgala después del mantenimiento. Lo ideal es que se trata de un proceso automatizado.
Gravedad: media
Las identidades sobreaprovisionadas de AWS solo deben tener los permisos necesarios.
Descripción: una identidad activa sobreaprovisionada es una identidad que tiene acceso a privilegios que no han usado. Las identidades activas sobreaprovisionadas, especialmente para las cuentas no humanas que tienen acciones y responsabilidades definidas, pueden aumentar el radio de explosión en caso de que un usuario, una clave o un recurso se vean comprometidos. Quite los permisos innecesarios y establezca procesos de revisión para lograr los permisos con menos privilegios.
Gravedad: media
Las identidades no usadas en el entorno de AWS deben quitarse
Descripción: las identidades inactivas son entidades humanas y no humanas que no han realizado ninguna acción en ningún recurso en los últimos 90 días. Las identidades de IAM inactivas con permisos de alto riesgo en su cuenta de AWS pueden ser propensas a ataques si se dejan tal como está y dejan a las organizaciones abiertas al uso indebido o la explotación de credenciales. Detectar y responder proactivamente a identidades no utilizados le ayuda a evitar que las entidades no autorizadas obtengan acceso a los recursos de AWS.
Gravedad: media
Recomendaciones de redes de AWS
Amazon EC2 debe configurarse para usar puntos de conexión de VPC
Descripción: este control comprueba si se crea un punto de conexión de servicio para Amazon EC2 para cada VPC. El control produce un error si una VPC no tiene un punto de conexión de VPC creado para el servicio Amazon EC2. Para mejorar la posición de seguridad de la VPC, puede configurar Amazon EC2 para que use un punto de conexión de VPC de la interfaz. Los puntos de conexión de interfaz cuentan con la tecnología de AWS PrivateLink, una tecnología que le permite acceder a las operaciones de API de Amazon EC2 de forma privada. Restringe todo el tráfico de red entre la VPC y Amazon EC2 a la red de Amazon. Dado que los puntos de conexión solo se admiten en la misma región, no se puede crear un punto de conexión entre una VPC y un servicio en otra región. Esto evita llamadas API de Amazon EC2 no intencionadas a otras regiones. Para más información sobre la creación de puntos de conexión de VPC para Amazon EC2, vea Amazon EC2 y puntos de enlace de la VPC de tipo interfaz en la Guía del usuario de Amazon EC2 para instancias de Linux.
Gravedad: media
Los servicios de Amazon ECS no deberían tener direcciones IP públicas asignadas automáticamente a ellos.
Descripción: una dirección IP pública es una dirección IP accesible desde Internet. Si inicia las instancias de Amazon ECS con una dirección IP pública, las instancias de Amazon ECS son accesibles desde Internet. Los servicios de Amazon ECS no deben ser accesibles públicamente, ya que esto podría permitir el acceso no deseado a los servidores de aplicaciones de contenedor.
Gravedad: alta
Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas.
Descripción: este control comprueba si los nodos maestros de los clústeres de Amazon EMR tienen direcciones IP públicas. Se produce un error en el control si el nodo maestro tiene direcciones IP públicas asociadas a cualquiera de sus instancias. Las direcciones IP públicas se designan en el campo PublicIp de la configuración NetworkInterfaces de la instancia. Este control solo comprueba los clústeres de Amazon EMR que están en estado RUNNING o WAITING.
Gravedad: alta
Los clústeres de Amazon Redshift deben usar el enrutamiento de VPC mejorado.
Descripción: este control comprueba si un clúster de Amazon Redshift tiene enhancedVpcRouting habilitado. El enrutamiento de VPC mejorado obliga a que todo el tráfico COPY y UNLOAD entre el clúster y los repositorios de datos pase por la VPC. A continuación, puede usar características de VPC, como grupos de seguridad y listas de control de acceso de red, para proteger el tráfico de red. También puede usar los registros de flujo de VPC para supervisar el tráfico de red.
Gravedad: alta
El equilibrador de carga de la aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS.
Descripción: para aplicar el cifrado en tránsito, debe usar acciones de redirección con equilibradores de carga de aplicaciones para redirigir las solicitudes HTTP del cliente a una solicitud HTTPS en el puerto 443.
Gravedad: media
Los equilibradores de carga de aplicaciones deben configurarse para quitar los encabezados HTTP.
Descripción: este control evalúa los equilibradores de carga de aplicaciones de AWS (ALB) para asegurarse de que están configurados para quitar encabezados HTTP no válidos. Se produce un error en el control si el valor routing.http.drop_invalid_header_fields.enabled está establecido en false. De forma predeterminada, los ALB no están configurados para quitar valores de encabezado HTTP no válidos. La eliminación de estos valores de encabezado evita ataques de desincronización HTTP.
Gravedad: media
Configuración de funciones lambda en una VPC.
Descripción: este control comprueba si una función Lambda está en una VPC. No evalúa la configuración de enrutamiento de subred de VPC para determinar la accesibilidad pública. Tenga en cuenta que si Lambda@Edge se encuentra en la cuenta, este control genera resultados con errores. Para evitar estos resultados, puede deshabilitar este control.
Gravedad: baja
Las instancias de EC2 no deben tener una dirección IP pública.
Descripción: este control comprueba si las instancias ec2 tienen una dirección IP pública. Se produce un error en el control si el campo "publicIp" está presente en el elemento de configuración de la instancia de EC2. Este control solo se aplica a direcciones IPv4. Una dirección IPv4 pública es una dirección IP a la que se puede acceder desde Internet. Si inicia la instancia con una dirección IP pública, se puede acceder a la instancia de EC2 desde Internet. Una dirección IPv4 privada es una dirección IP que no es accesible desde Internet. Puede usar direcciones IPv4 privadas para la comunicación entre instancias de EC2 en la misma VPC o en la red privada conectada. Las direcciones IPv6 son únicas globalmente y, por tanto, son accesibles desde Internet. Sin embargo, de forma predeterminada, todas las subredes tienen el atributo de direccionamiento IPv6 establecido en false. Para obtener más información sobre IPv6, vea Direccionamiento IP de instancias en su VPC en la Guía del usuario de Amazon VPC. Si tiene un caso de uso legítimo para mantener instancias de EC2 con direcciones IP públicas, puede suprimir los resultados de este control. Para más información sobre las opciones de arquitectura de front-end, vea el blog sobre la arquitectura de AWS o la serie This Is My Architecture.
Gravedad: alta
Las instancias de EC2 no deben usar varias ENI
Descripción: este control comprueba si una instancia ec2 usa varias interfaces de red elásticas (ENIs) o adaptadores de tejido elástico (EFA). Este control pasa si se usa un único adaptador de red. El control incluye una lista de parámetros opcionales para identificar las ENI permitidas. Varias ENI pueden provocar instancias de base dual, lo que significa instancias que tienen varias subredes. Esto puede agregar complejidad de seguridad de red e introducir acceso y rutas de acceso de red no deseados.
Gravedad: baja
Las instancias de EC2 deben usar IMDSv2.
Descripción: este control comprueba si la versión de metadatos de la instancia ec2 está configurada con Instance Metadata Service versión 2 (IMDSv2). El control pasa si "HttpTokens" está establecido en "required" para IMDSv2. Se produce un error en el control si "HttpTokens" está establecido en "opcional". Los metadatos de instancia se usan para configurar o administrar la instancia en ejecución. IMDS proporciona acceso a credenciales temporales rotadas con frecuencia. Estas credenciales eliminan la necesidad de codificar o distribuir credenciales confidenciales a las instancias de forma manual o mediante programación. IMDS se asocia localmente a cada instancia de EC2. Se ejecuta en una dirección IP "link local" especial de 169.254.169.254. A esta dirección IP solo puede acceder el software que se ejecuta en la instancia. La versión 2 de IMDS agrega nuevas protecciones para los siguientes tipos de vulnerabilidades. Estas vulnerabilidades se pueden usar para intentar acceder a IMDS.
- Apertura de firewalls de aplicaciones de sitio web
- Abrir servidores proxy inversos
- Vulnerabilidades de falsificación de solicitudes del lado servidor (SSRF)
- Open Layer 3 firewalls and network address translation (NAT) Security Hub recomienda configurar las instancias ec2 con IMDSv2.
Gravedad: alta
Las subredes de EC2 no deben asignar automáticamente direcciones IP públicas.
Descripción: este control comprueba si la asignación de direcciones IP públicas en subredes de la nube privada virtual de Amazon (Amazon VPC) tiene "MapPublicIpOnLaunch" establecido en "FALSE". El control pasa si la marca está establecida en "FALSE". Todas las subredes tienen un atributo que determina si una interfaz de red creada en la subred recibe automáticamente una dirección IPv4 pública. Las instancias que se inician en subredes que tienen habilitado este atributo tienen una dirección IP pública asignada a su interfaz de red principal.
Gravedad: media
Asegúrese de que haya un filtro de métricas de registro y una alarma para detectar los cambios hechos en la configuración de AWS Config.
Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro de métricas y una alarma para detectar cambios en las configuraciones de CloudTrail. La supervisión de los cambios en la configuración de AWS Config ayuda a garantizar una visibilidad sostenida de los elementos de configuración dentro de la cuenta de AWS.
Gravedad: baja
Asegúrese de que haya un filtro de métricas de registro y una alarma para los errores de autenticación en la Consola de administración de AWS.
Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro de métricas y una alarma para los intentos de autenticación de consola con errores. La supervisión de inicios de sesión de consola con errores podría reducir el tiempo de ejecución para detectar un intento de forzar por fuerza bruta una credencial, lo que podría proporcionar un indicador, como la dirección IP de origen, que se puede usar en otra correlación de eventos.
Gravedad: baja
Asegúrese de que existen un filtro de métricas de registro y una alarma para los cambios en las listas de control de acceso de red (NACL).
Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Las NACL se usan como filtro de paquetes sin estado para controlar el tráfico de entrada y salida de subredes dentro de una VPC. Se recomienda establecer un filtro y una alarma de métricas para los cambios realizados en las NACL. La supervisión de los cambios en las NACL ayuda a garantizar que los recursos y servicios de AWS no se expongan involuntariamente.
Gravedad: baja
Asegúrese de que haya un filtro de métricas de registro y una alarma para detectar los cambios hechos en las puertas de enlace de red.
Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Las puertas de enlace de red son necesarias para enviar y recibir tráfico a un destino fuera de una VPC. Se recomienda establecer un filtro de métricas y una alarma para los cambios en las puertas de enlace de red. La supervisión de los cambios en las puertas de enlace de red ayuda a garantizar que todo el tráfico de entrada y salida atraviesa el borde de la VPC a través de una ruta de acceso controlada.
Gravedad: baja
Asegúrese de que haya un filtro de métricas de registro y una alarma para detectar los cambios realizados en la configuración de CloudTrail.
Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro de métricas y una alarma para detectar cambios en las configuraciones de CloudTrail.
La supervisión de los cambios en la configuración de CloudTrail ayuda a garantizar una visibilidad sostenida de las actividades realizadas en la cuenta de AWS.
Gravedad: baja
Asegúrese de que haya un filtro de métricas de registro y una alarma para la deshabilitación o la eliminación programada de CMK creados por el cliente.
Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro de métricas y una alarma para cmK creados por el cliente, que han cambiado el estado a deshabilitado o eliminación programada. Ya no se podrá acceder a los datos cifrados con claves deshabilitadas o eliminadas.
Gravedad: baja
Asegúrese de que haya un filtro de métricas de registro y una alarma para detectar los cambios hechos en la directiva de IAM.
Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro de métricas y una alarma en las directivas de administración de identidades y acceso (IAM). La supervisión de los cambios en las directivas de IAM ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.
Gravedad: baja
Asegúrese de que haya un filtro de métricas de registro y una alarma para los inicios de sesión en la Consola de administración sin MFA.
Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro de métricas y una alarma para los inicios de sesión de consola que no están protegidos por la autenticación multifactor (MFA). La supervisión de inicios de sesión de consola de un solo factor aumenta la visibilidad de las cuentas que no están protegidas por MFA.
Gravedad: baja
Asegúrese de que haya un filtro de métricas de registro y una alarma para detectar los cambios hechos en las tablas de ruta.
Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Las tablas de enrutamiento se usan para enrutar el tráfico de red entre subredes y a puertas de enlace de red. Se recomienda establecer un filtro de métricas y una alarma para los cambios en las tablas de rutas. La supervisión de los cambios en las tablas de rutas ayuda a garantizar que todo el tráfico de VPC fluya a través de una ruta de acceso esperada.
Gravedad: baja
Asegúrese de que haya un filtro de métricas de registro y una alarma para detectar los cambios hechos en la directiva del cubo de S3.
Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro y una alarma de métricas para los cambios realizados en las directivas de cubos de S3. La supervisión de los cambios en las directivas de cuboS de S3 puede reducir el tiempo para detectar y corregir directivas permisivas en cubos S3 confidenciales.
Gravedad: baja
Asegúrese de que haya un filtro de métricas de registro y una alarma para detectar los cambios hechos en el grupo de seguridad.
Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Los grupos de seguridad son un filtro de paquetes con estado que controla el tráfico de entrada y salida dentro de una VPC. Se recomienda establecer un filtro de métricas y una alarma en grupos de seguridad. La supervisión de los cambios en el grupo de seguridad ayuda a garantizar que los recursos y los servicios no se exponen involuntariamente.
Gravedad: baja
Asegúrese de que haya un filtro de métricas de registro y una alarma para las llamadas API no autorizadas.
Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro de métricas y una alarma para llamadas API no autorizadas. La supervisión de llamadas API no autorizadas ayuda a revelar errores de aplicación y puede reducir el tiempo para detectar actividades malintencionadas.
Gravedad: baja
Asegúrese de que haya un filtro de métricas de registros y una alarma para el uso de la cuenta "raíz".
Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro de métricas y una alarma para los intentos de inicio de sesión raíz.
La supervisión de los inicios de sesión de la cuenta raíz proporciona visibilidad sobre el uso de una cuenta con privilegios completos y una oportunidad para reducir el uso de ella.
Gravedad: baja
Asegúrese de que haya un filtro de métricas de registro y una alarma para detectar los cambios hechos en VPC.
Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Es posible tener más de una VPC dentro de una cuenta, además de que también es posible crear una conexión del mismo nivel entre 2 VPC, lo que permite que el tráfico de red se enrute entre LAS VPN. Se recomienda establecer un filtro de métricas y una alarma para los cambios realizados en las VPC. La supervisión de los cambios en las directivas de IAM ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.
Gravedad: baja
Asegúrese de que ningún grupo de seguridad permite la entrada de 0.0.0.0/0 al puerto 3389
Descripción: Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada/salida a los recursos de AWS. Se recomienda que ningún grupo de seguridad permita el acceso de entrada sin restricciones al puerto 3389. La eliminación de la conectividad ilimitada a los servicios de consola remota, como RDP, reduce la exposición de un servidor al riesgo.
Gravedad: alta
Las bases de datos y los clústeres de RDS no deben usar un puerto predeterminado del motor de base de datos.
Descripción: este control comprueba si el clúster o la instancia de RDS usa un puerto distinto del puerto predeterminado del motor de base de datos. Si usa un puerto conocido para implementar un clúster o una instancia de RDS, un atacante puede adivinar información sobre el clúster o la instancia. El atacante puede usar esta información junto con otra información para conectarse a un clúster o una instancia de RDS u obtener información adicional sobre la aplicación. Al cambiar el puerto, también debe actualizar las cadenas de conexión existentes que se usaron para conectarse al puerto anterior. También debe comprobar el grupo de seguridad de la instancia de base de datos para asegurarse de que incluye una regla de entrada que permite la conectividad en el nuevo puerto.
Gravedad: baja
Las instancias de RDS se deben implementar en una VPC.
Descripción: las VPN proporcionan una serie de controles de red para proteger el acceso a los recursos de RDS. Estos controles incluyen puntos de conexión de VPC, ACL de red y grupos de seguridad. Para aprovechar estos controles, se recomienda que mueva las instancias de EC2-Classic RDS a EC2-VPC.
Gravedad: baja
Los depósitos de S3 deben requerir solicitudes para usar la Capa de sockets seguros.
Descripción: Se recomienda solicitar que usen Secure Socket Layer (SSL) en todos los cubos de Amazon S3. Los cubos de S3 deben tener directivas que requieran todas las solicitudes ("Action: S3:*") para aceptar solo la transmisión de datos a través de HTTPS en la directiva de recursos de S3, indicada por la clave de condición "aws:SecureTransport".
Gravedad: media
Los grupos de seguridad no deben permitir la entrada de 0.0.0.0/0 al puerto 22.
Descripción: para reducir la exposición del servidor, se recomienda no permitir el acceso de entrada sin restricciones al puerto "22".
Gravedad: alta
Los grupos de seguridad no deben permitir el acceso sin restricciones a los puertos con riesgo alto.
Descripción: este control comprueba si el tráfico entrante no restringido para los grupos de seguridad es accesible para los puertos especificados que tienen el riesgo más alto. Este control se pasa cuando ninguna de las reglas de un grupo de seguridad permite el tráfico de entrada desde 0.0.0.0/0 para esos puertos. El acceso sin restricciones (0.0.0.0/0) aumenta las oportunidades de actividades malintencionadas, como la piratería, los ataques por denegación de servicio y la pérdida de datos. Los grupos de seguridad proporcionan el filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. Ningún grupo de seguridad debe permitir el acceso de entrada sin restricciones a los puertos siguientes:
- 3389 (RDP)
- 20, 21 (FTP)
- 22 (SSH)
- 23 (Telnet)
- 110 (POP3)
- 143 (IMAP)
- 3306 (MySQL)
- 8080 (proxy)
- 1433, 1434 (MSSQL)
- 9200 o 9300 (Elasticsearch)
- 5601 (Kibana)
- 25 (SMTP)
- 445 (CIFS)
- 135 (RPC)
- 4333 (ahsp)
- 5432 (postgresql)
- 5500 (fcp-addr-srvr1)
Gravedad: media
Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones para los puertos autorizados.
Descripción: este control comprueba si los grupos de seguridad que están en uso permiten el tráfico entrante sin restricciones. Opcionalmente, la regla comprueba si los números de puerto aparecen en el parámetro "authorizedTcpPorts".
- Si el número de puerto de regla de grupo de seguridad permite el tráfico entrante sin restricciones, pero el número de puerto se especifica en "authorizedTcpPorts", el control pasa. El valor predeterminado de "authorizedTcpPorts" es 80, 443.
- Si el número de puerto de regla de grupo de seguridad permite el tráfico entrante sin restricciones, pero el número de puerto no se especifica en el parámetro de entrada authorizedTcpPorts, se produce un error en el control.
- Si no se usa el parámetro , se produce un error en el control para cualquier grupo de seguridad que tenga una regla de entrada sin restricciones. Los grupos de seguridad proporcionan el filtrado con estado del tráfico de red de entrada y salida a AWS. Las reglas del grupo de seguridad deben seguir el principio de acceso con privilegios mínimos. El acceso sin restricciones (dirección IP con un sufijo /0) aumenta la oportunidad de actividades malintencionadas como la piratería, los ataques por denegación de servicio y la pérdida de datos. A menos que se permita específicamente un puerto, el puerto debe denegar el acceso sin restricciones.
Gravedad: alta
Se deben quitar los EIP de EC2 sin usar.
Descripción: las direcciones IP elásticas que se asignan a una VPC deben adjuntarse a instancias de Amazon EC2 o interfaces de red elásticas (ENIs).
Gravedad: baja
Se deben quitar las listas de control de acceso de red no utilizadas.
Descripción: este control comprueba si hay listas de control de acceso de red (ACL) sin usar. El control comprueba la configuración del elemento del recurso "AWS::EC2::NetworkAcl" y determina las relaciones de la ACL de red. Si la única relación es la VPC de la ACL de red, se produce un error en el control. Si aparecen otras relaciones, el control pasa.
Gravedad: baja
El grupo de seguridad predeterminado de VPC debe restringir todo el tráfico.
Descripción: el grupo de seguridad debe restringir todo el tráfico para reducir la exposición de los recursos.
Gravedad: baja
Recomendaciones de IA
AWS Bedrock debe tener habilitado el registro de invocación de modelos
Descripción: con el registro de invocación, puede recopilar los datos completos de solicitud, los datos de respuesta y los metadatos asociados a todas las llamadas realizadas en su cuenta. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad.
Gravedad: baja