Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Estos controles de Security Hub evalúan el servicio y los recursos de Amazon Elastic Container Registry (Amazon ECR).
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
Requisitos relacionados: PCI DSS v4.0.1/6.2.3 NIST.800-53.r5 RA-5, PCI DSS v4.0.1/6.2.4
Categoría: Identificar > Administración de vulnerabilidades, parches y versiones
Gravedad: alta
Tipo de recurso: AWS::ECR::Repository
Regla de AWS Config : ecr-private-image-scanning-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si un repositorio privado de Amazon ECR tiene configurado el escaneo de imágenes. El control falla si el repositorio de ECR privado no está configurado para el escaneo instantáneo o continuo.
El escaneo de imágenes de ECR ayuda a identificar vulnerabilidades de software en las imágenes de contenedor. La configuración del escaneo de imágenes en los repositorios de ECR añade un nivel de verificación de la integridad y la seguridad de las imágenes que se almacenan.
Corrección
Para configurar el escaneo de imágenes para un repositorio de ECR, consulte el Escaneo de imágenes en la Guía del usuario de Amazon Elastic Container Registry.
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
Requisitos relacionados: (1), NiSt.800-53.r5 CM-2, NiSt.800-53.r5 CM-8 (1) NIST.800-53.r5 CA-9
Categoría: Identificar > Inventario > Etiquetado
Gravedad: media
Tipo de recurso: AWS::ECR::Repository
Regla de AWS Config : ecr-private-tag-immutability-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un repositorio de ECR privado tiene habilitada la inmutabilidad de etiquetas. Este control falla si un repositorio de ECR privado tiene deshabilitada la inmutabilidad de etiquetas. Esta regla se aplica si la inmutabilidad de la etiqueta está habilitada y tiene el valor IMMUTABLE.
La inmutabilidad de las etiquetas ECR de Amazon permite a los clientes confiar en las etiquetas descriptivas de una imagen como un mecanismo fiable para rastrear e identificar las imágenes de forma única. Una etiqueta inmutable es estática, lo que significa que cada etiqueta hace referencia a una imagen única. Esto mejora la fiabilidad y la escalabilidad, ya que el uso de una etiqueta estática siempre tendrá como resultado la implementación de la misma imagen. Cuando se configura, la inmutabilidad de las etiquetas evita que se anulen, lo que reduce la superficie expuesta a ataques.
Corrección
Para crear un repositorio con etiquetas inmutables configuradas o para actualizar la configuración de mutabilidad de las etiquetas de imagen de un repositorio existente, consulte la Mutabilidad de las etiquetas de imagen en la Guía del usuario de Amazon Elastic Container registry.
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NiSt.800-53.r5 CM-2, NiSt.800-53.r5 CM-2 (2)
Categoría: Identificar > Configuración de recursos
Gravedad: media
Tipo de recurso: AWS::ECR::Repository
Regla de AWS Config : ecr-private-lifecycle-policy-configured
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un repositorio de Amazon ECR tiene configurada al menos una política de ciclo de vida. Este control falla si un repositorio de ECR no tiene ninguna política de ciclo de vida configurada.
Las políticas de ciclo de vida de Amazon ECR permiten especificar la administración de ciclo de vida de las imágenes de un repositorio. Al configurar las políticas del ciclo de vida, puede automatizar la limpieza de las imágenes sin utilizar y la caducidad de las imágenes en función de su antigüedad o recuento. La automatización de estas tareas puede ayudarte a evitar el uso involuntario de imágenes desactualizadas en tu repositorio.
Corrección
Para configurar una política de ciclo de vida, consulte la Vista previa sobre cómo crear una política de ciclo de vida en la Guía del usuario de Amazon Elastic Container Registry.
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::ECR::PublicRepository
Regla de AWS Config : tagged-ecr-publicrepository (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS | Sin valor predeterminado |
Este control comprueba si un repositorio público de Amazon ECR tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control falla si el repositorio público no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si el repositorio público no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un recurso y consta de una clave y un valor opcional. AWS Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para agregar etiquetas a un repositorio público de ECR, consulte Tagging an Amazon ECR public repository en la Guía del usuario de Amazon Elastic Container Registry.
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys
Requisitos relacionados: NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 NIst.800-53.r5 SI-7 NIST.800-53.r5 CA-9 (6), NISt.800-53.r5 AU-9
Categoría: Proteger > Protección de datos > Cifrado de data-at-rest
Gravedad: media
Tipo de recurso: AWS::ECR::Repository
Regla de AWS Config : ecr-repository-cmk-encryption-enabled
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Una lista de nombres de recursos de Amazon (ARNs) AWS KMS keys para incluir en la evaluación. El control genera una |
StringList (máximo de 10 elementos) |
De 1 a 10 ARNs de las claves KMS existentes. Por ejemplo: |
Sin valor predeterminado |
Este control comprueba si un repositorio de Amazon ECR está cifrado en reposo con un repositorio gestionado AWS KMS key por el cliente. El control falla si el repositorio de ECR no está cifrado con una clave KMS administrada por el cliente. Si lo desea, puede especificar una lista de claves de KMS para que el control las incluya en la evaluación.
De forma predeterminada, Amazon ECR cifra los datos del repositorio con claves administradas de Amazon S3 (SSE-S3) mediante un algoritmo AES-256. Para obtener un control adicional, puede configurar Amazon ECR para que cifre los datos con un AWS KMS key (SSE-KMS o DSSE-KMS) en su lugar. La clave de KMS puede ser: una Clave administrada de AWS que Amazon ECR cree y administre para usted y que tenga el aliasaws/ecr, o una clave administrada por el cliente que usted cree y administre en su Cuenta de AWS cuenta. Con una clave KMS administrada por el cliente, usted tiene el control total de la clave. Esto incluye definir y mantener la política de claves, administrar las concesiones, rotar el material criptográfico, asignar etiquetas, crear alias y habilitar y deshabilitar la clave.
nota
AWS KMS admite el acceso multicuenta a las claves de KMS. Si un repositorio de ECR está cifrado con una clave KMS que pertenece a otra cuenta, este control no realiza comprobaciones entre cuentas al evaluar el repositorio. El control no evalúa si Amazon ECR puede acceder a la clave y utilizarla al realizar operaciones criptográficas para el repositorio.
Corrección
No puede cambiar la configuración de cifrado de un repositorio de ECR existente. Sin embargo, puede especificar una configuración de cifrado diferente para los repositorios de ECR que cree posteriormente. Amazon ECR admite el uso de diferentes configuraciones de cifrado para repositorios individuales.
Para obtener más información sobre las opciones de cifrado de los repositorios de ECR, consulte Encryption at rest en la Guía del usuario de Amazon ECR. Para obtener más información sobre la gestión por parte del cliente AWS KMS keys, consulte la AWS Key Management Service Guía para AWS KMS keysdesarrolladores.
