Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Controles CSPM de Security Hub para Amazon EKS
Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon Elastic Kubernetes Service (Amazon EKS). Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).
## [EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente
**Gravedad:** alta
**Tipo de recurso:** `AWS::EKS::Cluster`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)
**Tipo de programa:** Periódico
**Parámetros:** ninguno
Este control comprueba si un punto de conexión de un clúster de Amazon EKS es de acceso público. El control falla si un clúster de EKS tiene un punto de conexión al que se puede acceder públicamente.
Cuando crea un clúster nuevo, Amazon EKS genera un punto de conexión para el servidor de la API de Kubernetes administrado que utiliza a fin de comunicarse con su clúster. De forma predeterminada, este punto de conexión del servidor API está disponible públicamente en Internet. El acceso al servidor API está protegido mediante una combinación de AWS Identity and Access Management (IAM) y el control de acceso basado en roles (RBAC) nativo de Kubernetes. Al eliminar el acceso público al punto de conexión, puede evitar la exposición y el acceso involuntarios a su clúster.
### Corrección
Para modificar el acceso a los puntos de conexión de un clúster de EKS existente, consulte [Modificación del acceso a los puntos de conexión de un clúster](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access) en la **Guía del usuario de Amazon EKS**. Puede configurar el acceso a los puntos de conexión para un nuevo clúster de EKS al crearlo. Para obtener instrucciones sobre cómo crear un nuevo clúster de Amazon EKS, consulte [Creación de un clúster de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html) en la **Guía del usuario de Amazon EKS**.
## [EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NiSt.800-53.r5 CM-2, NiSt.800-53.r5 SI-2, NiSt.800-53.r5 SI-2 (2), NiSt.800-53.r5 SI-2 (4), NiSt.800-53.r5 SI-2 (5), PCI DSS v4.0.1/12.3.4
**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones
**Gravedad:** alta
**Tipo de recurso:** `AWS::EKS::Cluster`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
+ `oldestVersionSupported`: `1.33` (no personalizable)
Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) se ejecuta en una versión de Kubernetes compatible. El control lanza un error si el clúster de EKS se ejecuta en una versión no compatible.
Si su aplicación no requiere una versión específica de Kubernetes, recomendamos que use la versión más reciente de Kubernetes disponible admitida por EKS para sus clústeres. Para obtener más información, consulte [Calendario de versiones de Amazon EKS Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar) y [Comprensión del ciclo de vida de versiones de Kubernetes en Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation) en la **Guía del usuario de Amazon EKS**.
### Corrección
Para actualizar un clúster de EKS, consulte [Actualización de un clúster existente a una nueva versión de Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html) en la **Guía del usuario de Amazon EKS**.
## [EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
**Requisitos relacionados:** NIST.800-53.r5 SC-1 2 NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, PCI DSS v4.0.1/8.3.2
**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest
**Gravedad:** media
**Tipo de recurso:** `AWS::EKS::Cluster`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)
**Tipo de programa:** Periódico
**Parámetros:** ninguno
Este control comprueba si un clúster de Amazon EKS utiliza secretos de Kubernetes cifrados. El control lanza un error si los secretos de Kubernetes del clúster no están cifrados.
Al cifrar los secretos, puede utilizar las claves AWS Key Management Service (AWS KMS) para cifrar en sobres los secretos de Kubernetes almacenados en etcd para su clúster. Este cifrado se suma al cifrado de volúmenes de EBS, que está habilitado de forma predeterminada para todos los datos (incluidos los secretos) que se almacenan en etcd como parte de un clúster de EKS. El uso del cifrado de secretos para su clúster de EKS le permite implementar una estrategia de defensa exhaustiva para las aplicaciones de Kubernetes mediante el cifrado de los secretos de Kubernetes con una clave de KMS que usted defina y administre.
### Corrección
Para habilitar el cifrado de secretos en un clúster de EKS, consulte [Habilitar el cifrado de secretos en un clúster existente](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html) en la **Guía del usuario de Amazon EKS**.
## [EKS.6] Los clústeres de EKS deben etiquetarse
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::EKS::Cluster`
**AWS Config regla:** `tagged-eks-cluster` (regla CSPM de Security Hub personalizada)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado |
Este control comprueba si un clúster de Amazon EKS tiene etiquetas con claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el clúster no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.
**nota**
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*
### Corrección
Para agregar etiquetas a un clúster de EKS, consulte [Etiquetado de los recursos de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) en la **Guía del usuario de Amazon EKS**.
## [EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::EKS::IdentityProviderConfig`
**AWS Config regla:** `tagged-eks-identityproviderconfig` (regla CSPM de Security Hub personalizada)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado |
Este control comprueba si una configuración de los proveedores de identidad de Amazon EKS tiene etiquetas con claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la configuración no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la configuración no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.
**nota**
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*
### Corrección
Para agregar etiquetas a las configuraciones de los proveedores de identidad de EKS, consulte [Etiquetado de los recursos de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) en la **Guía del usuario de Amazon EKS**.
## [EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NiSt.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NiSt.800-53.r5 SI-4, NiSt.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Categoría:** Identificar - Registro
**Gravedad:** media
**Tipo de recurso:** `AWS::EKS::Cluster`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
+ `logTypes: audit` (no personalizable)
Este control comprueba si un clúster de Amazon EKS tiene habilitado el registro de auditoría. Se produce un error en el control si el registro de auditoría no está habilitado para el clúster.
**nota**
Este control no comprueba si el registro de auditoría de Amazon EKS está habilitado a través de Amazon Security Lake para la Cuenta de AWS.
El registro del plano de control de EKS proporciona registros de auditoría y diagnóstico directamente desde el plano de control de EKS a Amazon CloudWatch Logs de su cuenta. Puede seleccionar los tipos de registro que necesita y los registros se envían como flujos de registros a un grupo por cada clúster de EKS en el que se encuentre CloudWatch. El registro proporciona visibilidad del acceso y el rendimiento de los clústeres de EKS. Al enviar los registros del plano de control de EKS para sus clústeres de EKS a CloudWatch Logs, puede registrar las operaciones con fines de auditoría y diagnóstico en una ubicación central.
### Corrección
Para habilitar los registros de auditoría para el clúster de EKS, consulte [Habilitación y deshabilitación de registros de plano de control](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export) en la **Guía del usuario de Amazon EKS**.