Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Auto Scaling
Estos controles de Security Hub evalúan el servicio y los recursos de Amazon EC2 Auto Scaling.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.
[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar controles de ELB estado
Requisitos relacionados: PCI DSS v3.2.1/2.2, .800-53.r5 CP-2 (2) NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2 NIST
Categoría: Identificar - Inventario
Gravedad: baja
Tipo de recurso: AWS::AutoScaling::AutoScalingGroup
AWS Config regla: autoscaling-group-elb-healthcheck-required
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de Amazon EC2 Auto Scaling asociado a un balanceador de cargas utiliza las comprobaciones de estado de Elastic Load Balancing (ELB). El control falla si el grupo de Auto Scaling no utiliza comprobaciones de ELB estado.
ELBlas comprobaciones de estado ayudan a garantizar que un grupo de Auto Scaling pueda determinar el estado de una instancia en función de las pruebas adicionales proporcionadas por el balanceador de cargas. El uso de comprobaciones de estado de Elastic Load Balancing también ayuda a respaldar la disponibilidad de las aplicaciones que utilizan grupos de EC2 Auto Scaling.
Corrección
Para añadir comprobaciones de estado de Elastic Load Balancing, consulte Añadir comprobaciones de estado de Elastic Load Balancing en la Guía del usuario de Amazon EC2 Auto Scaling.
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::AutoScaling::AutoScalingGroup
AWS Config regla: autoscaling-multiple-az
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Cantidad mínima de zonas de disponibilidad |
Enum |
|
|
Este control comprueba si un grupo de Amazon EC2 Auto Scaling abarca al menos el número especificado de zonas de disponibilidad (AZs). El control falla si un grupo de Auto Scaling no abarca al menos el número especificado deAZs. A menos que proporciones un valor de parámetro personalizado para el número mínimo deAZs, Security Hub usa un valor predeterminado de dosAZs.
Un grupo de Auto Scaling que no abarque varias zonas no AZs puede lanzar instancias en otra zona de disponibilidad para compensar si la zona de disponibilidad única configurada deja de estar disponible. Sin embargo, en algunos casos de uso, puede preferirse un grupo de escalado automático con una sola zona de disponibilidad, como los trabajos por lotes o cuando los costos de transferencia entre zonas de disponibilidad deben mantenerse al mínimo. En esos casos, puede deshabilitar este control o suprimir sus resultados.
Corrección
Para añadir AZs a un grupo de Auto Scaling existente, consulte Añadir y eliminar zonas de disponibilidad en la Guía del usuario de Amazon EC2 Auto Scaling.
[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)
Requisitos relacionados: NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, NIST .800-53.r5 CM-2
Categoría: Proteger - Configuración de red segura
Gravedad: alta
Tipo de recurso: AWS::AutoScaling::LaunchConfiguration
AWS Config regla: autoscaling-launchconfig-requires-imdsv2
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si IMDSv2 está activado en todas las instancias lanzadas por los grupos de Amazon EC2 Auto Scaling. El control falla si la versión del Instance Metadata Service (IMDS) no está incluida en la configuración de lanzamiento o está configurada comotoken optional, que es una configuración que permite una IMDSv1 u otraIMDSv2.
IMDSproporciona datos sobre la instancia que puede usar para configurar o administrar la instancia en ejecución.
La versión 2 IMDS añade nuevas protecciones que no estaban disponibles IMDSv1 para proteger aún más tus EC2 instancias.
Corrección
Un grupo de escalado automático asocia con una configuración de lanzamiento cada vez. No se puede modificar una configuración de lanzamiento después de crearla. Para cambiar la configuración de lanzamiento de un grupo de Auto Scaling, utilice una configuración de lanzamiento existente como base para una nueva configuración de lanzamiento con IMDSv2 Enabled. Para obtener más información, consulta Configurar las opciones de metadatos de instancia para nuevas instancias en la Guía del EC2 usuario de Amazon.
[AutoScaling.4] La configuración de inicio de grupos de Auto Scaling no debe tener un límite de saltos de respuesta de metadatos superior a 1
importante
Security Hub retiró este control en abril de 2024. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Categoría: Proteger - Configuración de red segura
Gravedad: alta
Tipo de recurso: AWS::AutoScaling::LaunchConfiguration
AWS Config regla: autoscaling-launch-config-hop-limit
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba el número de saltos de red que puede recorrer un token de metadatos. El control falla si el límite de saltos de respuesta de los metadatos es superior a 1.
El Instance Metadata Service (IMDS) proporciona información de metadatos sobre una EC2 instancia de Amazon y es útil para la configuración de aplicaciones. Restringir la HTTP PUT respuesta del servicio de metadatos a solo la EC2 instancia la IMDS protege del uso no autorizado.
El campo Time To Live (TTL) del paquete IP se reduce en uno en cada salto. Esta reducción se puede utilizar para garantizar que el paquete no viaje al exteriorEC2. IMDSv2protege EC2 las instancias que pueden estar mal configuradas como enrutadores abiertos, firewalls de capa 3, túneles o NAT dispositivosVPNs, lo que impide que los usuarios no autorizados recuperen los metadatos. ConIMDSv2, la PUT respuesta que contiene el token secreto no puede viajar fuera de la instancia porque el límite de saltos de respuesta de metadatos predeterminado está establecido en. 1 Sin embargo, si este valor es superior a1, el token puede salir de la EC2 instancia.
Corrección
Para modificar el límite de saltos de respuesta de metadatos para una configuración de lanzamiento existente, consulta Modificar las opciones de metadatos de instancias para instancias existentes en la Guía del EC2 usuario de Amazon.
[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas
Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7
Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente
Gravedad: alta
Tipo de recurso: AWS::AutoScaling::LaunchConfiguration
AWS Config regla: autoscaling-launch-config-public-ip-disabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la configuración de lanzamiento asociada a un grupo de escalado automático asigna una dirección IP pública a las instancias del grupo. El control falla si la configuración de lanzamiento asociada asigna una dirección IP pública.
EC2Las instancias de Amazon en una configuración de lanzamiento grupal de Auto Scaling no deben tener una dirección IP pública asociada, excepto en casos extremos limitados. Solo se debe poder acceder a las EC2 instancias de Amazon desde detrás de un balanceador de carga, en lugar de estar expuestas directamente a Internet.
Corrección
Un grupo de escalado automático asocia con una configuración de lanzamiento cada vez. No se puede modificar una configuración de lanzamiento después de crearla. Para cambiar la configuración de lanzamiento de un grupo de escalado automático, utilice una configuración de lanzamiento existente como punto de partida para una nueva configuración de lanzamiento. A continuación, actualice el grupo de escalado automático para utilizar la nueva configuración de lanzamiento. Para step-by-step obtener instrucciones, consulte Cambiar la configuración de lanzamiento de un grupo de Auto Scaling en la Guía del usuario de Amazon EC2 Auto Scaling. Al crear la nueva configuración de lanzamiento, en Configuración adicional, en Detalles avanzados, tipo de dirección IP, seleccione No asignar una dirección IP pública a ninguna instancia.
Después de cambiar la configuración de lanzamiento, Auto Scaling lanza nuevas instancias con las nuevas opciones de configuración. Las instancias existentes no se ven afectadas. Para actualizar una instancia existente, le recomendamos que actualice su instancia o permita que el escalado automático reemplace gradualmente las instancias más antiguas por instancias más recientes en función de sus políticas de terminación. Para obtener más información sobre la actualización de las instancias de Auto Scaling, consulte Actualizar instancias de Auto Scaling en la Guía del usuario de Amazon EC2 Auto Scaling.
[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::AutoScaling::AutoScalingGroup
AWS Config regla: autoscaling-multiple-instance-types
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de Amazon EC2 Auto Scaling utiliza varios tipos de instancias. El control falla si el grupo de escalado automático solo tiene un tipo de instancia definido.
Puede mejorar la disponibilidad si implementa la aplicación en varios tipos de instancia que se ejecutan en varias zonas de disponibilidad. Security Hub recomienda utilizar varios tipos de instancias para que el grupo de escalado automático pueda lanzar otro tipo de instancia si no hay suficiente capacidad en las zonas de disponibilidad elegidas.
Corrección
Para crear un grupo de Auto Scaling con varios tipos de instancias, consulte Grupos de Auto Scaling con varios tipos de instancias y opciones de compra en la Guía del usuario de Amazon EC2 Auto Scaling.
[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Categoría: Identificar > Configuración de recursos
Gravedad: media
Tipo de recurso: AWS::AutoScaling::AutoScalingGroup
AWS Config regla: autoscaling-launch-template
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si se ha creado un grupo de Amazon EC2 Auto Scaling a partir de una plantilla de EC2 lanzamiento. Este control falla si no se crea un grupo de Amazon EC2 Auto Scaling con una plantilla de lanzamiento o si no se especifica una plantilla de lanzamiento en una política de instancias mixtas.
Se puede crear un grupo de EC2 Auto Scaling a partir de una plantilla de EC2 lanzamiento o una configuración de lanzamiento. Sin embargo, el uso de una plantilla de lanzamiento para crear un grupo de escalado automático garantiza que tenga acceso a las funciones y mejoras más recientes.
Corrección
Para crear un grupo de Auto Scaling con una plantilla de EC2 lanzamiento, consulte Creación de un grupo de Auto Scaling mediante una plantilla de lanzamiento en la Guía del usuario de Amazon EC2 Auto Scaling. Para obtener información sobre cómo reemplazar una configuración de lanzamiento por una plantilla de lanzamiento, consulta Reemplazar una configuración de lanzamiento por una plantilla de lanzamiento en la Guía del EC2 usuario de Amazon.
[AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::AutoScaling::AutoScalingGroup
AWS Config regla: tagged-autoscaling-autoscalinggroup (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen AWS requisitos | Sin valor predeterminado |
Este control comprueba si un grupo de Amazon EC2 Auto Scaling tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el grupo Auto Scaling no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si el grupo de Auto Scaling no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni otra información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluyendo AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar su AWS recursos en el Referencia general de AWS.
Corrección
Para añadir etiquetas a un grupo de Auto Scaling, consulte Etiquetar grupos e instancias de Auto Scaling en la Guía del usuario de Amazon EC2 Auto Scaling.
