Controles de Security Hub para Elastic Load Balancing - AWS Security Hub
[ELB.1] Application Load Balancer debe configurarse para redirigir todas las HTTP solicitudes a HTTPS[ELB.2] Los balanceadores de carga clásicos con HTTPS listenersSSL/deben usar un certificado proporcionado por AWS Certificate Manager[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con o con terminación HTTPS TLS[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http[ELB.5] El registro de aplicaciones y balanceadores de carga clásicos debe estar habilitado[ELB.6] Los balanceadores de carga de aplicaciones, puertas de enlace y redes deben tener habilitada la protección contra eliminaciones[ELB.7] Los balanceadores de carga clásicos deberían tener habilitado el drenaje de conexiones[ELB.8] Los balanceadores de carga clásicos con SSL oyentes deben usar una política de seguridad predefinida que sea sólida AWS Config Duración[ELB.9] Los balanceadores de carga clásicos deberían tener activado el balanceo de cargas entre zonas[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad[ELB.12] Application Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto[ELB.13] Los balanceadores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad[ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a un AWS WAF web ACL

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Security Hub para Elastic Load Balancing

Estos AWS Security Hub los controles evalúan el servicio y los recursos de Elastic Load Balancing.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.

[ELB.1] Application Load Balancer debe configurarse para redirigir todas las HTTP solicitudes a HTTPS

Requisitos relacionados: PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8 .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8 NIST

Categoría: Detectar - Servicios de detección

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config regla: alb-http-to-https-redirection-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si HTTP la HTTPS redirección está configurada en todos los HTTP receptores de Application Load Balancers. El control falla si alguno de los HTTP oyentes de los balanceadores de carga de aplicaciones no tiene configurada la redirección. HTTP HTTPS

Antes de comenzar a utilizar el equilibrador de carga de aplicación, debe agregar al menos uno o más oyentes. Un agente de escucha es un proceso que utiliza el protocolo y el puerto configurados para comprobar las solicitudes de conexión. Los oyentes admiten tanto los protocolos como los protocolos. HTTP HTTPS Puedes usar un agente de HTTPS escucha para delegar el trabajo de cifrado y descifrado en tu balanceador de cargas. Para aplicar el cifrado en tránsito, debes usar acciones de redireccionamiento con los balanceadores de carga de aplicaciones para redirigir las HTTP solicitudes de los clientes a una solicitud en el puerto 443. HTTPS

Para obtener más información, consulte Creación de un agente de escucha para el Equilibrador de carga de aplicación en la Guía del usuario de Equilibrador de carga de aplicacións.

Corrección

Para redirigir HTTP las solicitudes aHTTPS, debe agregar una regla de escucha de Application Load Balancer o editar una regla existente.

Para obtener instrucciones sobre cómo agregar una nueva regla, consulte Agregar una regla en la Guía del usuario de los equilibradores de carga de aplicaciones. En Protocolo: Puerto, elija y, a continuación HTTP, introduzca. 80 En Añadir acción, redirigir a, elija y HTTPS, a continuación, introduzca443.

Para obtener instrucciones sobre cómo editar una regla existente, consulte Editar una regla en la Guía del usuario de los equilibradores de carga de aplicaciones. En Protocolo: Puerto, elija y HTTP, a continuación, introduzca80. En Añadir acción, redirigir a, elija y HTTPS, a continuación, introduzca443.

[ELB.2] Los balanceadores de carga clásicos con HTTPS listenersSSL/deben usar un certificado proporcionado por AWS Certificate Manager

Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3 (5), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

Categoría: Proteger > Protección de datos > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config regla: elb-acm-certificate-required

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si el Classic Load Balancer utiliza los SSL certificadosHTTPS/proporcionados por AWS Certificate Manager (ACM). El control falla si el Classic Load Balancer configurado conHTTPS/SSLlistener no utiliza un certificado proporcionado por. ACM

Para crear un certificado, puede utilizar una herramienta compatible con los TLS protocolos SSL y, por ejemplo, Open. ACM SSL Security Hub recomienda que los utilices ACM para crear o importar certificados para tu balanceador de carga.

ACMse integra con los balanceadores de carga clásicos para que puedas implementar el certificado en tu balanceador de carga. También debe renovar estos certificados automáticamente.

Corrección

Para obtener información sobre cómo asociar un TLS certificado ACMSSL/a un Classic Load Balancer, consulte la AWS Artículo del Knowledge Center ¿Cómo puedo asociar un TLS certificado ACMSSL/a un Classic, Application o Network Load Balancer?

[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con o con terminación HTTPS TLS

Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3 ( NIST.800-53.r5 SC-13), ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

Categoría: Proteger > Protección de datos > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config regla: elb-tls-https-listeners-only

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los oyentes de Classic Load Balancer están configurados con HTTPS o con un TLS protocolo para las conexiones front-end (del cliente al balanceador de cargas). El control se aplica si un Equilibrador de carga clásico tiene oyentes. Si su Equilibrador de carga clásico no tiene un listener configurado, el control no informa de ningún resultado.

El control pasa si los oyentes de Classic Load Balancer están configurados con TLS o HTTPS para conexiones front-end.

El control falla si el oyente no está configurado con TLS o HTTPS para conexiones frontales.

Antes de comenzar a utilizar un equilibrador de carga, debe agregar uno o más oyentes. Un agente de escucha es un proceso que utiliza el protocolo y el puerto configurados para comprobar las solicitudes de conexión. Los oyentes pueden admitir los protocolos HTTP y/. HTTPS TLS Siempre debes usar un TLS listener HTTPS o para que el balanceador de cargas se encargue de encriptar y desencriptar en tránsito.

Corrección

Para solucionar este problema, actualiza tus oyentes para que usen el protocolo o. TLS HTTPS

Para cambiar todos los oyentes no conformes a/listeners TLS HTTPS

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, en Equilibración de carga, elija equilibradores de carga.

  3. Etiquetado del equilibrador de carga clásico

  4. En la pestaña Listeners (Agentes de escucha), seleccione Edit (Editar).

  5. Para todos los oyentes en los que el Protocolo Load Balancer no esté establecido en SSL o, cámbielo HTTPS a o. HTTPS SSL

  6. Para todos los oyentes modificados, en la pestaña Certificados, seleccione Cambiar el valor predeterminado.

  7. Para los IAMcertificados ACM y, seleccione un certificado.

  8. Seleccione Guardar como predeterminado.

  9. Tras actualizar todos los oyentes, selecciona Guardar.

[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http

Requisitos relacionados: NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2)

Categoría: Proteger > Seguridad de red

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config regla: alb-http-drop-invalid-header-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control evalúa AWS Aplica balanceadores de carga para garantizar que estén configurados para eliminar los encabezados no válidosHTTP. El control falla si el valor routing.http.drop_invalid_header_fields.enabled se establece como false.

De forma predeterminada, los balanceadores de carga de aplicaciones no están configurados para eliminar valores de encabezado no válidosHTTP. La eliminación de estos valores de encabezado evita los ataques de HTTP desincronización.

Tenga en cuenta que puede deshabilitar este control si la opción ELB.12 está habilitada.

Corrección

Para solucionar este problema, configura tu equilibrador de cargas para eliminar los campos de encabezado no válidos.

Cómo configurar el equilibrador de carga para eliminar campos de encabezado no válidos

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Load balancers (Balanceadores de carga).

  3. Eliminación de un Equilibrador de carga de aplicación

  4. Para Acciones, elija Editar atributos.

  5. En Eliminar campos de encabezado no válidos, selecciona Activar.

  6. Seleccione Guardar.

[ELB.5] El registro de aplicaciones y balanceadores de carga clásicos debe estar habilitado

Requisitos relacionados: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer, AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config regla: elb-logging-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si el Equilibrador de carga de aplicación y el Equilibrador de carga clásico tienen el registro activado. El control tiene errores si access_logs.s3.enabled es false.

Elastic Load Balancing proporciona registros de acceso que capturan información detallada sobre las solicitudes enviadas al equilibrador de carga. Cada registro contiene distintos datos, como el momento en que se recibió la solicitud, la dirección IP del cliente, las latencias, las rutas de solicitud y las respuestas del servidor. Puede utilizar estos registros de acceso para analizar los patrones de tráfico y solucionar problemas.

Para obtener más información, consulte Etiquetado del Equilibrador de carga clásico en la Guía del usuario de Equilibrador de carga clásicos.

Corrección

Para habilitar los registros de acceso, consulte el Paso 3: Configurar los registros de acceso en la Guía del usuario de los equilibradores de carga de aplicaciones.

[ELB.6] Los balanceadores de carga de aplicaciones, puertas de enlace y redes deben tener habilitada la protección contra eliminaciones

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config regla: elb-deletion-protection-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una aplicación, puerta de enlace o Network Load Balancer tiene habilitada la protección contra la eliminación. El control falla si la protección contra la eliminación está deshabilitada.

Habilite la protección contra la eliminación para evitar que se eliminen sus aplicaciones, puertas de enlace o Network Load Balancer.

Corrección

Para evitar que el equilibrador de carga se elimine por error, puede habilitar la protección contra eliminación. De forma predeterminada, la protección contra eliminación del equilibrador de carga está deshabilitada.

Si habilita la protección contra eliminación del equilibrador de carga, deberá deshabilitarla para poder eliminarlo.

Para habilitar la protección contra la eliminación de un balanceador de carga de aplicaciones, consulte Protección contra la eliminación en la Guía del usuario de los balanceadores de carga de aplicaciones. Para habilitar la protección contra la eliminación de un balanceador de carga de puerta de enlace, consulte Protección contra eliminación en la Guía del usuario de los balanceadores de carga de puerta de enlace. Para habilitar la protección contra la eliminación de un Network Load Balancer, consulte Protección contra la eliminación en la Guía del usuario de Network Load Balancers.

[ELB.7] Los balanceadores de carga clásicos deberían tener habilitado el drenaje de conexiones

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST

Categoría: Recuperación > Resiliencia

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config regla: elb-connection-draining-enabled (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los equilibradores de carga clásicos tienen habilitado el drenaje de conexión.

Al habilitar el drenaje de conexiones en los Equilibradores de carga clásicos se garantiza que el equilibrador de carga deje de enviar solicitudes a instancias que están en proceso de anulación del registro o se encuentran en mal estado. Mantiene abiertas las conexiones existentes. Esto es particularmente útil para instancias en grupos de escalado automático, para garantizar que las conexiones no se interrumpan abruptamente.

Corrección

Para habilitar el drenaje de conexión en Equilibrador de carga clásico, consulte Configuración del drenaje de conexión para el Equilibrador de carga clásico en la Guía del usuario de Equilibrador de carga clásico.

[ELB.8] Los balanceadores de carga clásicos con SSL oyentes deben usar una política de seguridad predefinida que sea sólida AWS Config Duración

Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

Categoría: Proteger > Protección de datos > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config regla: elb-predefined-security-policy-ssl-check

Tipo de horario: provocado por un cambio

Parámetros:

  • predefinedPolicyName: ELBSecurityPolicy-TLS-1-2-2017-01 (no personalizable)

Este control comprueba si los SSL oyentes o el Classic Load HTTPS Balancer utilizan la política predefinida. ELBSecurityPolicy-TLS-1-2-2017-01 El control falla si no se utiliza el Classic Load BalancerHTTPS/SSLlisteners. ELBSecurityPolicy-TLS-1-2-2017-01

Una política de seguridad es una combinación de SSL protocolos, cifrados y la opción de preferencia de orden de los servidores. Las políticas predefinidas controlan los cifrados, los protocolos y los órdenes de preferencia que se utilizan durante SSL las negociaciones entre un cliente y el balanceador de cargas.

El uso ELBSecurityPolicy-TLS-1-2-2017-01 puede ayudarlo a cumplir con los estándares de cumplimiento y seguridad que requieren que deshabilite versiones específicas de SSL y. TLS Para obtener más información, consulte las políticas de SSL seguridad predefinidas para los balanceadores de carga clásicos en la Guía del usuario de los balanceadores de carga clásicos.

Corrección

Para obtener información sobre cómo utilizar la política de seguridad predefinida de ELBSecurityPolicy-TLS-1-2-2017-01 con un Equilibrador de carga clásico, consulte Configurar los ajustes de seguridad en la Guía del usuario de Equilibrador de carga clásicos.

[ELB.9] Los balanceadores de carga clásicos deberían tener activado el balanceo de cargas entre zonas

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config regla: elb-cross-zone-load-balancing-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si el equilibrio de carga entre zonas está activado para los balanceadores de carga clásicos ()CLBs. El control falla si el equilibrio de carga entre zonas no está habilitado para un. CLB

Cada nodo del equilibrador de carga distribuye el tráfico entre los destinos registrados en su zona de disponibilidad solamente. Cuando el equilibrio de carga entre zonas está deshabilitado, cada nodo del equilibrador de carga distribuye el tráfico únicamente entre los destinos registrados de su zona de disponibilidad. Si el número de destinos registrados no es el mismo en todas las zonas de disponibilidad, el tráfico no se distribuirá de manera uniforme y las instancias de una zona podrían terminar sobreutilizadas en comparación con las instancias de otra zona. Con cross-zone load balancing, cada nodo del equilibrador de carga de su equilibrador de carga clásico distribuye las solicitudes equitativamente entre todas las instancias registradas en todas las zonas de disponibilidad habilitadas. Para obtener más información, consulte Equilibrio de carga entre zonas en la Guía del usuario de Elastic Load Balancing.

Corrección

Para habilitar el balanceo de cargas entre zonas en un Equilibrador de carga clásico, consulta Habilitar el balanceo de cargas entre zonas en la Guía del usuario de Equilibrador de carga clásicos.

[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config regla: clb-multiple-az

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

minAvailabilityZones

Cantidad mínima de zonas de disponibilidad

Enum

2, 3, 4, 5, 6

2

Este control comprueba si un Classic Load Balancer se ha configurado para abarcar al menos el número especificado de zonas de disponibilidad ()AZs. El control falla si el Classic Load Balancer no abarca al menos el número especificado de. AZs A menos que proporciones un valor de parámetro personalizado para el número mínimo deAZs, Security Hub usa un valor predeterminado de dosAZs.

Se puede configurar un Classic Load Balancer para distribuir las solicitudes entrantes entre las EC2 instancias de Amazon en una única zona de disponibilidad o en varias zonas de disponibilidad. Un Equilibrador de carga clásico que no abarque varias zonas de disponibilidad no puede redirigir el tráfico a destinos de otra zona de disponibilidad si la única zona de disponibilidad configurada deja de estar disponible.

Corrección

Para agregar zonas de disponibilidad a un equilibrador de carga clásico, consulte Add or remove subnets for your Classic Load Balancer en la Guía del usuario para los Equilibradores de carga clásicos.

[ELB.12] Application Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

Requisitos relacionados: NIST.800-53.r5 AC-4 (21), (1), .800-53.r5 NIST.800-53.r5 CA-9 CM-2 NIST

Categoría: Proteger > Protección de datos > Integridad de los datos

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config regla: alb-desync-mode-check

Tipo de horario: provocado por un cambio

Parámetros:

  • desyncMode: defensive, strictest (no personalizable)

Este control comprueba si un Equilibrador de carga de aplicación está configurado con el modo defensivo o con el modo de mitigación de desincronización más estricto. El control falla si un Equilibrador de carga de aplicación no está configurado con el modo defensivo o de mitigación de desincronización más estricto.

HTTPLos problemas de desincronización pueden provocar el contrabando de solicitudes y hacer que las aplicaciones sean vulnerables al envenenamiento de las colas de solicitudes o de la caché. A su vez, estas vulnerabilidades pueden provocar el uso indebido de credenciales o la ejecución de comandos no autorizados. Los balanceadores de carga de aplicaciones configurados con el modo defensivo o el modo de mitigación de desincronización más estricto protegen tu aplicación de los problemas de seguridad que pueda provocar la desincronización. HTTP

Corrección

Para actualizar el modo de mitigación de desincronización de un Equilibrador de carga de aplicación, consulte el modo de mitigación de desincronización en la Guía del usuario de Equilibrador de carga de aplicaciones.

[ELB.13] Los balanceadores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config regla: elbv2-multiple-az

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

minAvailabilityZones

Cantidad mínima de zonas de disponibilidad

Enum

2, 3, 4, 5, 6

2

Este control comprueba si un Elastic Load Balancer V2 (balanceador de carga de aplicaciones, redes o puertas de enlace) ha registrado instancias de al menos el número especificado de zonas de disponibilidad (). AZs El control falla si un Elastic Load Balancer V2 no tiene instancias registradas en al menos el número especificado de. AZs A menos que proporciones un valor de parámetro personalizado para el número mínimo deAZs, Security Hub usa un valor predeterminado de dosAZs.

Elastic Load Balancing distribuye automáticamente el tráfico entrante entre varios destinos, como EC2 instancias, contenedores y direcciones IP, en una o más zonas de disponibilidad. Elastic Load Balancing escala el equilibrador de carga a medida que el tráfico entrante va cambiando con el tiempo. Se recomienda configurar al menos dos zonas de disponibilidad para garantizar la disponibilidad de los servicios, ya que el Elastic Load Balancer podrá dirigir el tráfico a otra zona de disponibilidad si alguna deja de estar disponible. Tener configuradas varias zonas de disponibilidad ayudará a evitar que la aplicación tenga un único punto de error.

Corrección

Para agregar una zona de disponibilidad a un Equilibrador de carga de aplicación, consulte Zonas de disponibilidad para el equilibrador de carga de aplicaciones en la Guía del usuario para equilibradores de carga de aplicaciones. Para crear un equilibrador de carga de red, consulte Introducción a los equilibradores de carga de red en la Guía del usuario de los equilibradores de carga de red. Para añadir una zona de disponibilidad a un equilibrador de carga de puerta de enlace, consulte Crear un equilibrador de carga de puerta de enlace en la Guía del usuario de equilibradores de carga de puerta de enlace.

[ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

Requisitos relacionados: NIST.800-53.r5 AC-4 (21), (1), .800-53.r5 NIST.800-53.r5 CA-9 CM-2 NIST

Categoría: Proteger > Protección de datos > Integridad de los datos

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config regla: clb-desync-mode-check

Tipo de horario: provocado por un cambio

Parámetros:

  • desyncMode: defensive, strictest (no personalizable)

Este control comprueba si un Equilibrador de carga clásico está configurado con el modo defensivo o con el modo de mitigación de desincronización más estricto. El control falla si el Equilibrador de carga clásico no está configurado con el modo defensivo o de mitigación de desincronización más estricto.

HTTPLos problemas de desincronización pueden provocar el contrabando de solicitudes y hacer que las aplicaciones sean vulnerables al envenenamiento de las colas de solicitudes o de la caché. A su vez, estas vulnerabilidades pueden provocar el secuestro de credenciales o la ejecución de comandos no autorizados. Los balanceadores de carga clásicos configurados con el modo defensivo o el modo de mitigación de desincronización más estricto protegen tu aplicación de los problemas de seguridad que pueda provocar la desincronización. HTTP

Corrección

Para actualizar el modo de mitigación de desincronización en un Equilibrador de carga clásico, consulte Modificar el modo de mitigación de desincronización en la Guía del usuario de Equilibrador de carga clásico.

[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a un AWS WAF web ACL

Requisitos relacionados: NIST.800-53.r5 AC-4 (21)

Categoría: Proteger > Servicios de protección

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config regla: alb-waf-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un Application Load Balancer está asociado a un AWS WAF Clásico o AWS WAF lista de control de acceso a la web (webACL). El control falla si el Enabled campo correspondiente a AWS WAF la configuración está establecida enfalse.

AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y contra APIs los ataques. Con AWS WAF, puede configurar una webACL, que es un conjunto de reglas que permiten, bloquean o cuentan las solicitudes web en función de las reglas y condiciones de seguridad web personalizables que usted defina. Le recomendamos que asocie su Application Load Balancer a un AWS WAF web ACL para ayudar a protegerlo de ataques malintencionados.

Corrección

Para asociar un Application Load Balancer a una webACL, consulte Asociar o desasociar una web a un ACL AWSrecurso en el AWS WAF Guía para desarrolladores.