Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Security Hub para CloudFront

Estos controles de Security Hub evalúan el CloudFront servicio y los recursos de Amazon.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

Requisitos relacionados: NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), v4.0.1/2.2.6 PCI DSS

Categoría: Proteger > Gestión del acceso seguro > Recursos que no son de acceso público

Gravedad: alta

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config : cloudfront-default-root-object-configured

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una CloudFront distribución de Amazon está configurada para devolver un objeto específico que es el objeto raíz predeterminado. El control falla si la CloudFront distribución no tiene un objeto raíz predeterminado configurado.

A veces, un usuario puede solicitar la raíz de la distribución URL en lugar de un objeto de la distribución. Cuando esto ocurre, especificar un objeto raíz predeterminado puede ayudarle a evitar la exposición del contenido de su distribución web.

Corrección

Para configurar un objeto raíz predeterminado para una CloudFront distribución, consulte Cómo especificar un objeto raíz predeterminado en la Guía para CloudFront desarrolladores de Amazon.

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), NIST.800-53.r5 SC-1 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), v4.0.1/4.2.1 PCI DSS

Categoría: Proteger > Protección de datos > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config : cloudfront-viewer-policy-https

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una CloudFront distribución de Amazon requiere que los espectadores la utilicen HTTPS directamente o si utiliza la redirección. El control falla si ViewerProtocolPolicy está configurado como allow-all para defaultCacheBehavior o para cacheBehaviors.

HTTPS(TLS) se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta función para comprender el perfil de rendimiento y su impactoTLS.

Corrección

Para cifrar una CloudFront distribución en tránsito, consulte Requerir la comunicación entre espectadores y CloudFront en la Guía HTTPS para CloudFront desarrolladores de Amazon.

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: baja

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config : cloudfront-origin-failover-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una CloudFront distribución de Amazon está configurada con un grupo de origen que tiene dos o más orígenes.

CloudFront La conmutación por error de origen puede aumentar la disponibilidad. La conmutación por error de Origin redirige automáticamente el tráfico a un origen secundario si el origen principal no está disponible o si devuelve códigos de estado de HTTP respuesta específicos.

Corrección

Para configurar la conmutación por error de origen para una CloudFront distribución, consulta Cómo crear un grupo de origen en la Guía para CloudFront desarrolladores de Amazon.

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), .800-53.r5 SI-7 (8), NIST v4.0.1/10.4.2 NIST PCI DSS

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config : cloudfront-accesslogs-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si el registro de acceso al servidor está habilitado en las distribuciones. CloudFront El control falla si el registro de acceso no está habilitado para una distribución.

CloudFront los registros de acceso proporcionan información detallada sobre cada solicitud de usuario que CloudFront recibe. Cada registro contiene información como la fecha y la hora en que se recibió la solicitud, la dirección IP del espectador que realizó la solicitud, el origen de la solicitud y el número de puerto de la solicitud del espectador.

Estos registros son útiles para aplicaciones como auditorías de seguridad y acceso y para investigaciones forenses. Para obtener más información sobre cómo analizar los registros de acceso, consulte Consultas de CloudFront registros de Amazon en la Guía del usuario de Amazon Athena.

Corrección

Para configurar el registro de acceso para una CloudFront distribución, consulte Configuración y uso de registros estándar (registros de acceso) en la Guía para CloudFront desarrolladores de Amazon.

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

Requisitos relacionados: NIST.800-53.r5 AC-4 (21), v4.0.1/6.4.2 PCI DSS

Categoría: Proteger > Servicios de protección

Gravedad: media

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config : cloudfront-associated-with-waf

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si CloudFront las distribuciones están asociadas a la versión clásica o a la web. AWS WAF AWS WAF ACLs El control falla si la distribución no está asociada a una webACL.

AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web contra APIs los ataques. Le permite configurar un conjunto de reglas, denominado lista de control de acceso a la web (webACL), que permiten, bloquean o cuentan las solicitudes web en función de las reglas y condiciones de seguridad web personalizables que usted defina. Asegúrese de que su CloudFront distribución esté asociada a una AWS WAF web ACL para protegerla de ataques malintencionados.

Corrección

Para asociar una AWS WAF web ACL a una CloudFront distribución, consulta Cómo controlar AWS WAF el acceso a tu contenido en la Guía para CloudFront desarrolladores de Amazon.

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

Categoría: Proteger > Protección de datos > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config : cloudfront-custom-ssl-certificate

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si CloudFront las distribuciones utilizan el SSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS certificado predeterminado.

SSLPersonalice o TLS permita a los usuarios acceder al contenido mediante nombres de dominio alternativos. Puede almacenar los certificados personalizados en AWS Certificate Manager (recomendado) o enIAM.

Corrección

Para añadir un nombre de dominio alternativo a una CloudFront distribución mediante un TLS certificadoSSL/personalizado, consulta Añadir un nombre de dominio alternativo en la Guía para CloudFront desarrolladores de Amazon.

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), .800-53.r5 NIST CM-2

Categoría: Proteger - Configuración de red segura

Gravedad: baja

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config : cloudfront-sni-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si CloudFront las distribuciones de Amazon utilizan un método de SSL/TLS certificate and are configured to use SNI to serve HTTPS requests. This control fails if a custom SSL/TLS certificate is associated but the SSL/TLS soporte personalizado que sea una dirección IP dedicada.

La indicación del nombre de servidor (SNI) es una extensión del TLS protocolo compatible con los navegadores y clientes lanzados después de 2010. Si lo configura CloudFront para atender HTTPS las solicitudes medianteSNI, CloudFront asocie su nombre de dominio alternativo a una dirección IP para cada ubicación perimetral. Cuando un espectador envía una HTTPS solicitud para tu contenido, DNS dirige la solicitud a la dirección IP de la ubicación de borde correcta. La dirección IP de tu nombre de dominio se determina durante la negociación deSSL/TLShandshake; la dirección IP no está dedicada a tu distribución.

Corrección

Para configurar una CloudFront distribución que se utilice SNI para atender HTTPS solicitudes, consulte Utilización SNI para atender HTTPS solicitudes (funciona para la mayoría de los clientes) en la Guía para CloudFront desarrolladores. Para obtener información sobre SSL los certificados personalizados, consulte Requisitos para usar TLS certificadosSSL/con CloudFront.

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), v4.0.1/4.2.1 NIST.800-53.r5 SC-2 PCI DSS

Categoría: Proteger > Protección de datos > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config : cloudfront-traffic-to-origin-encrypted

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si CloudFront las distribuciones de Amazon cifran el tráfico hacia orígenes personalizados. Este control falla en el caso de una CloudFront distribución cuya política de protocolo de origen permite «solo http». Este control también falla si la política de protocolo de origen de la distribución es “match-viewer”, mientras que la política de protocolo de visor es “permisible para todos”.

HTTPS(TLS) se puede utilizar para evitar el espionaje o la manipulación del tráfico de la red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS).

Corrección

Para actualizar la política de protocolo de origen para que exija el cifrado de una CloudFront conexión, consulta la sección Requerir la comunicación entre CloudFront y tu origen personalizado en la Guía HTTPS para CloudFront desarrolladores de Amazon.

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, (4), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), v4.0.1/4.2.1 PCI DSS

Categoría: Proteger > Protección de datos > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config : cloudfront-no-deprecated-ssl-protocols

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si CloudFront las distribuciones de Amazon utilizan SSL protocolos obsoletos para la HTTPS comunicación entre las ubicaciones de CloudFront borde y tus orígenes personalizados. Este control falla si una CloudFront distribución tiene un «CustomOriginConfigwhere OriginSslProtocols includes». SSLv3

En 2015, el Grupo de Trabajo de Ingeniería de Internet (IETF) anunció oficialmente que la SSL versión 3.0 debería quedar obsoleta debido a que el protocolo no era lo suficientemente seguro. Se recomienda utilizar TLSv1 .2 o una versión posterior para la HTTPS comunicación con sus orígenes personalizados.

Corrección

Para actualizar los SSL protocolos de origen de una CloudFront distribución, consulta Requerir la comunicación entre CloudFront y tu origen personalizado en la Guía HTTPS para CloudFront desarrolladores de Amazon.

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

Requisitos relacionados: NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2), v4.0.1/2.2.6 NIST PCI DSS

Categoría: Identificar > Configuración de recursos

Gravedad: alta

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config : cloudfront-s3-origin-non-existent-bucket

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si CloudFront las distribuciones de Amazon apuntan a orígenes de Amazon S3 inexistentes. El control de una CloudFront distribución falla si el origen está configurado para apuntar a un bucket inexistente. Este control solo se aplica a CloudFront las distribuciones en las que el origen de S3 es un bucket de S3 sin alojamiento de sitios web estáticos.

Cuando una CloudFront distribución de tu cuenta está configurada para apuntar a un depósito que no existe, un tercero malintencionado puede crear el depósito al que se hace referencia y publicar su propio contenido a través de tu distribución. Recomendamos comprobar todos los orígenes, independientemente del comportamiento de enrutamiento, para asegurarse de que sus distribuciones apuntan a los orígenes adecuados.

Corrección

Para modificar una CloudFront distribución para que apunte a un nuevo origen, consulta Actualización de una distribución en la Guía para CloudFront desarrolladores de Amazon.

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

Categoría: Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

Gravedad: media

Tipo de recurso: AWS::CloudFront::Distribution

Regla de AWS Config : cloudfront-s3-origin-access-control-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una CloudFront distribución de Amazon con origen en Amazon S3 tiene configurado el control de acceso de origen (OAC). El control falla si OAC no está configurado para la CloudFront distribución.

Si utiliza un bucket de S3 como origen para su CloudFront distribución, puede activarloOAC. Esto permite el acceso al contenido del depósito únicamente a través de la CloudFront distribución especificada y prohíbe el acceso directo desde el depósito u otra distribución. Aunque CloudFront es compatible con Origin Access Identity (OAI), OAC ofrece funciones adicionales y las distribuciones que lo utilizan OAI pueden migrar a OAC ellas. Si bien OAI proporciona una forma segura de acceder a S3 Origins, tiene limitaciones, como la falta de compatibilidad con configuraciones de políticas detalladas y con HTTPS solicitudesHTTP/que utilizan este POST método y Regiones de AWS que requieren la AWS firma de la versión 4 (SiGV4). OAItampoco admite el cifrado con AWS Key Management Service. OACse basa en la práctica AWS recomendada de utilizar los directores de IAM servicio para autenticarse con orígenes de S3.

Corrección

OACPara configurar una CloudFront distribución con orígenes de S3, consulte Restringir el acceso a un origen de Amazon S3 en la Guía para CloudFront desarrolladores de Amazon.

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::CloudFront::Distribution

AWS Config regla: tagged-cloudfront-distribution (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si una CloudFront distribución de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control lanza un error si la distribución no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la distribución no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también lo ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

Corrección

Para añadir etiquetas a una CloudFront distribución, consulta Cómo etiquetar CloudFront distribuciones de Amazon en la Guía para CloudFront desarrolladores de Amazon.