Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Otros controles de Security Hub en Accelerate
Los siguientes controles de compensación están disponibles en Accelerate.
Temas
Lambda.3 - Las funciones de Lambda deben estar en una VPC
Recursos:
AMSAlarmManagerDeploymentHandler
AMSAlarmManagerOrphanedAlarmCleanup
AMSAlarmManagerRemediation
AMSAlarmManagerReporting
AMSAlarmManagerTriggerEvaluation
AMSAlarmManagerValidation
AMSConfigExtensionDeploymentHandler
AMSConfigFSXExtension
AMSConfigOutpostExtension
AMSConfigSyntheticCanaryExtension
Las AWS Lambda funciones implementadas por AMS no se comunican con los recursos de sus cuentas. Por lo tanto, no requieren la colocación de interfaces de red elásticas (ENIs) dedicadas ni de VPC. La implementación de estas funciones fuera de una VPC reduce los costos y mejora la velocidad de implementación. Este enfoque no plantea ningún problema de seguridad en la comunicación dentro de los recursos. Dado que estas funciones de Lambda funcionan de forma independiente y no acceden a los recursos basados en la VPC, la implementación de la VPC añade complejidad y gastos innecesarios sin proporcionar beneficios de seguridad adicionales.
S3.17 - Los depósitos de uso general de S3 deberían cifrarse en reposo con AWS KMS keys
Recursos:
<account_id>arn:aws:s3: ::ams-a -administrador de alarmas- <region>
Los depósitos de Amazon Simple Storage Service que utiliza el sistema AMS Alarm Manager utilizan claves de cifrado gestionadas por Amazon (SSE-S3) en lugar de claves KMS gestionadas por el cliente (SSE-KMS). La implementación de claves administradas por el cliente requiere que concedas a AMS permisos explícitos para usar tus claves de KMS mediante políticas clave. Esto introduce una complejidad y un riesgo operativos adicionales. El uso de este control proporciona un cifrado sólido en reposo y, al mismo tiempo, evita costes adicionales y complejidad operativa para usted.
Si modifica las políticas de claves, rota las claves de forma incorrecta o las elimina o desactiva accidentalmente, la supervisión de AMS fallará inmediatamente. Esta dependencia de la disponibilidad de las claves gestionada por el cliente pone en peligro la infraestructura crítica de monitoreo y alerta de AMS. Podría interrumpir las capacidades de monitoreo en tiempo real, la emisión de alertas, la respuesta a incidentes y la visibilidad del estado de los servicios. Las claves de cifrado gestionadas por Amazon cifran automáticamente los datos en reposo sin necesidad de gestionar las políticas de claves, los programas de rotación o los permisos de acceso. Esta implementación cumple con los requisitos de cifrado y, al mismo tiempo, mantiene la rentabilidad y la simplicidad operativa de la infraestructura gestionada AMS.
Recursos:
<account_id><region>arn:aws:s3: ::ams-a -cloudtrail-log- -audit
El depósito de registro de AWS CloudTrail auditoría no puede utilizar el cifrado debido a las limitaciones del servicio AWS KMS . AWS Los buckets S3 que sirven como destinos de registro de acceso al servidor no deben tener activado el cifrado de claves KMS. Para obtener más información, consulte Configuración del cifrado predeterminado y Solución de problemas del registro de acceso al servidor en la Guía del usuario de Amazon Simple Storage Service. Si se habilita el AWS KMS cifrado en los depósitos de destino de registro, se pueden producir errores de registro y problemas operativos. En su lugar, este bucket utiliza el cifrado gestionado por Amazon S3 (SSE-S3). Esto proporciona el cifrado en reposo y, al mismo tiempo, mantiene la compatibilidad con la funcionalidad de registro de acceso al servidor S3.
KMS.2: Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS
Recursos:
Clave KMS: alias/ams/patchreporting
La política en línea contiene la palabra «Recurso»: ["*"] en una política de claves de KMS, que es una política basada en recursos adjunta a una clave de KMS específica (ams_ssm_inventory_bucket_kms_key). El ámbito de las políticas clave se basa intrínsecamente en la clave individual, y el uso de un asterisco (*) en el elemento Recurso es una práctica habitual, ya que el ámbito de aplicación de la política ya está limitado por la propia clave. AWS Para obtener más información, consulte Creación de una política clave y una política clave predeterminada en la AWS KMS keys Guía para desarrolladores. Esta configuración no supone ningún riesgo para la seguridad, ya que el acceso está limitado a una única clave de KMS, no a todas las claves de la cuenta.
S3.9 - Los depósitos de uso general de S3 deberían tener habilitado el registro de acceso al servidor
Recursos:
ams-config-recorder-bucket<account_id>- -auditoría
Estos depósitos S3 son depósitos de destino de registro de acceso para AWS Config los depósitos de Recorder. S3 recomienda no configurar el registro de acceso en estos depósitos, ya que generaría bucles de registro infinitos, lo que aumentaría los costes de forma innecesaria. AWS Security Hub recomienda, en cambio, que en este escenario se supriman las conclusiones de los recursos.
Corrección:
Deberías suprimir este hallazgo para los grupos afectados, ya que los resultados no son útiles. Si no quieres suprimir los hallazgos, puedes configurar de forma opcional el registro automático en el depósito. El registro automático conlleva el riesgo de que el registro se elimine si AMS actualiza el depósito.
EC2.6: el registro de flujo de VPC debe estar habilitado en todos VPCs
Recursos:
VPC predeterminada al crear la cuenta
De forma predeterminada, AMS no habilita los registros de flujo de VPC para la VPC predeterminada.
Corrección:
Puedes corregir el control automáticamente añadiendo la clave/valor de la ams:managed=true etiqueta, borrando el estado de la regla de configuración y volviendo a ejecutar la evaluación de la regla. El componente de corrección automática de AMS habilita los registros de flujo de la VPC en la VPC.
