Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Lambda
Estos AWS Security Hub controles evalúan el AWS Lambda servicio y los recursos.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público
Requisitos relacionados: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/7.2.1, PCI DSS v4.0.1/7.2.1 NIST.800-53.r5 SC-7
Categoría: Proteger - Configuración de red segura
Gravedad: crítica
Tipo de recurso: AWS::Lambda::Function
Regla de AWS Config : lambda-function-public-access-prohibited
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la política basada en recursos de la función de Lambda prohíbe el acceso público a la cuenta. El control falla si se permite el acceso público. El control también falla si se invoca una función de Lambda desde Amazon S3 y la política no incluye una condición para limitar el acceso público, como por ejemplo AWS:SourceAccount. Le recomendamos que utilice otras condiciones de S3 junto con AWS:SourceAccount en su política de bucket para obtener un acceso más preciso.
La función de Lambda no debe ser accesible públicamente, ya que puede permitir el acceso involuntario al código que tenga almacenado en la característica.
Corrección
Para solucionar este problema, debe actualizar la política basada en los recursos de su característica para eliminar los permisos o añadir la condición de AWS:SourceAccount. Solo puede actualizar la política basada en recursos desde la API Lambda o. AWS CLI
Para empezar, revise la política basada en recursos de la consola Lambda. Identifique la declaración de política que tiene valores de campo Principal que hacen que la política sea pública, como "*" o { "AWS": "*" }.
No puede editar la política desde la consola. Para eliminar los permisos de la característica, ejecute el comando remove-permission desde AWS CLI.
$ aws lambda remove-permission --function-name<function-name>--statement-id<statement-id>
Sustituya <function-name><statement-id>Sid) que desee eliminar.
[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NiSt.800-53.r5 CM-2, NiSt.800-53.r5 SI-2, NiSt.800-53.r5 SI-2 (2), NiSt.800-53.r5 SI-2 (4), NiSt.800-53.r5 SI-2 (5), PCI DSS v4.0.1/12.3.4
Categoría: Proteger - Desarrollo seguro
Gravedad: media
Tipo de recurso: AWS::Lambda::Function
Regla de AWS Config : lambda-function-settings-check
Tipo de horario: provocado por un cambio
Parámetros:
-
runtime:dotnet8, dotnet6, java21, java17, java11, java8.al2, nodejs22.x, nodejs20.x, nodejs18.x, python3.13, python3.12, python3.11, python3.10, python3.9, python3.8, ruby3.3, ruby3.2(no personalizable)
Este control comprueba si la configuración del tiempo de ejecución de la AWS Lambda función coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El control falla si la función de Lambda no utiliza un tiempo de ejecución compatible, tal como se indicó anteriormente en la sección Parámetros. Security Hub ignora las funciones que tienen un tipo de paquete de Image.
Los Tiempos de ejecución de Lambda se crean a partir de una combinación de sistema operativo, lenguaje de programación y bibliotecas de software, todos ellos sujetos a operaciones de mantenimiento y actualizaciones de seguridad. Cuando un componente de un tiempo de ejecución deja de recibir actualizaciones de seguridad, Lambda descarta el tiempo de ejecución. Aunque no puede crear funciones que utilicen el tiempo de ejecución obsoleto, la función sigue estando disponible para procesar eventos de invocación. Recomendamos comprobar que sus funciones de Lambda sean actuales y que no utilicen entornos de tiempo de ejecución obsoletos. Para obtener una lista de los tiempos de ejecución compatibles, consulte los tiempos de ejecución de Lambda en la Guía para desarrolladores de AWS Lambda .
Corrección
Para obtener más información sobre los tiempos de ejecución compatibles y los programas de obsolescencia, consulte la Política de obsolescencia del tiempo de ejecución en la Guía para desarrolladores de AWS Lambda . Cuando migre los tiempos de ejecución a la versión más reciente, siga la sintaxis y las instrucciones de los editores del lenguaje. También recomendamos implementar actualizaciones del tiempo de ejecución para ayudar a reducir el riesgo de que las cargas de trabajo se vean afectadas en el caso de que se produzca una incompatibilidad entre las versiones en el tiempo de ejecución.
[Lambda.3] Las funciones de Lambda deben estar en una VPC
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoría: Proteger - Configuración de red segura
Gravedad: baja
Tipo de recurso: AWS::Lambda::Function
AWS Config regla: lambda-inside-vpc
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si se implementó una función de Lambda en una nube privada virtual (VPC). El control falla si no se implementa la función de Lambda en una VPC. Security Hub no evalúa la configuración de direccionamiento de subred de VPC para determinar la accesibilidad pública. Es posible que vea resultados erróneos en los recursos de Lambda @Edge.
La implementación de recursos en una VPC refuerza la seguridad y el control de las configuraciones de red. Estas implementaciones también ofrecen escalabilidad y una alta tolerancia a los errores en varias zonas de disponibilidad. Puede personalizar las implementaciones de VPC para cumplir con los diversos requisitos de las aplicaciones.
Corrección
Para configurar una característica existente para conectarse a subredes privadas de su VPC, consulte Configuración del acceso a la VPC en la Guía para desarrolladores de AWS Lambda . Recomendamos elegir al menos dos subredes privadas para una alta disponibilidad y al menos un grupo de seguridad que cumpla con los requisitos de conectividad de la característica.
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NiST.800-53.R5 SI-13 (5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::Lambda::Function
Regla de AWS Config : lambda-vpc-multi-az-check
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Cantidad mínima de zonas de disponibilidad |
Enum |
|
|
Este control comprueba si una AWS Lambda función que se conecta a una nube privada virtual (VPC) funciona al menos en el número especificado de zonas de disponibilidad (AZs). El control falla si la función no funciona al menos en el número especificado de AZs. A menos que proporciones un valor de parámetro personalizado para el número mínimo de AZs, Security Hub usa un valor predeterminado de dos AZs.
La implementación de recursos en varios AZs es una práctica AWS recomendada para garantizar una alta disponibilidad en su arquitectura. La disponibilidad es un pilar fundamental del modelo de seguridad de la tríada de confidencialidad, integridad y disponibilidad. Todas las funciones de Lambda que se conectan a una VPC deben tener una implementación multi-AZ para garantizar que una sola zona de error no provoque una interrupción total de las operaciones.
Corrección
Si configura la función para conectarse a una VPC de su cuenta, especifique las subredes en varias AZs para garantizar una alta disponibilidad. Para obtener instrucciones, consulte Configuración del acceso a la VPC en la Guía para desarrolladores de AWS Lambda .
Lambda ejecuta automáticamente otras funciones de forma múltiple AZs para garantizar que esté disponible para procesar eventos en caso de una interrupción del servicio en una sola zona.
[Lambda.6] Las funciones de Lambda deben estar etiquetadas
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::Lambda::Function
Regla de AWS Config : tagged-lambda-function (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS |
No default value
|
Este control comprueba si una AWS Lambda función tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la función no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si la función no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para agregar etiquetas a una función de Lambda, consulte Uso de etiquetas en funciones de Lambda en la Guía para desarrolladores de AWS Lambda .
