Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Amazon SNS
Estos AWS Security Hub controles evalúan el servicio y los recursos del Amazon Simple Notification Service (Amazon SNS).
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-2 (10), NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)
Categoría: Proteger > Protección de datos > Cifrado de data-at-rest
Gravedad: media
Tipo de recurso: AWS::SNS::Topic
Regla de AWS Config : sns-encrypted-kms
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un tema de Amazon SNS está cifrado en reposo utilizando claves administradas en AWS Key Management Service (AWS KMS). Los controles fallan si el tema de SNS no utiliza una clave de KMS para el cifrado del servidor (SSE). De forma predeterminada, SNS almacena los mensajes y archivos mediante el cifrado de disco. Para pasar este control, debe optar por utilizar una clave KMS para el cifrado. Esto agrega una capa adicional de seguridad y brinda una mayor flexibilidad de control de acceso.
El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. AWS Se requieren permisos de API para descifrar los datos antes de que puedan leerse. Recomendamos cifrar temas de SNS con claves de KMS para tener una capa de seguridad adicional.
Corrección
Para habilitar SSE para un tema de SNS, consulte Habilitación del cifrado del servidor (SSE) para Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Antes de poder usar SSE, también debe configurar AWS KMS key políticas que permitan el cifrado de temas y el cifrado y descifrado de mensajes. Para obtener más información, consulte Configuración de AWS KMS permisos en la Guía para desarrolladores de Amazon Simple Notification Service.
[SNS.2] Debe habilitarse el registro del estado de la entrega para los mensajes de notificación enviados a un tema
importante
Security Hub retiró este control en abril de 2024. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::SNS::Topic
Regla de AWS Config : sns-topic-message-delivery-notification-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el registro está habilitado para el estado de entrega de los mensajes de notificación enviados a un tema de Amazon SNS para los puntos de conexión. Este control falla si la notificación del estado de entrega de los mensajes no está habilitada.
El registro es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de los servicios. El registro del estado de entrega de los mensajes aporta información operativa, como la siguiente:
Saber si un mensaje se ha entregado al punto de enlace de Amazon SNS.
Identificar la respuesta enviada desde el punto de enlace de Amazon SNS a Amazon SNS.
Determinar el tiempo de permanencia del mensaje (el tiempo entre la marca de tiempo de publicación y la entrega a un punto de conexión de Amazon SNS).
Corrección
Para configurar el registro del estado de entrega de un tema, consulte el Estado de entrega de los mensajes de Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.
[SNS.3] Los temas de SNS deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::SNS::Topic
Regla de AWS Config : tagged-sns-topic (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS |
No default value
|
Este control comprueba si un tema de Amazon SNS tiene etiquetas con claves específicas definidas en el parámetro requiredTagKeys. El control falla si el tema no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el tema no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para agregar etiquetas a un tema de SNS, consulte Configuración de etiquetas de temas de Amazon SNS en la Guía para desarrolladores del servicio de Amazon Simple Notification Service.
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente
Gravedad: alta
Tipo de recurso: AWS::SNS::Topic
Regla de AWS Config : sns-topic-no-public-access
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la política de acceso a los temas de Amazon SNS permite el acceso público. Este control falla si la política de acceso a los temas de Amazon SNS permite el acceso público.
Puede utilizar una política de acceso de SNS con un tema determinado para restringir quién puede trabajar en ese tema (por ejemplo, quién puede publicar mensajes en el tema, quién puede suscribirse al tema, etcétera). Las políticas de SNS pueden conceder acceso a otros Cuentas de AWS usuarios o a los propios usuarios. Cuenta de AWS El uso de un carácter comodín (*) en el campo Principle de la política de temas y la falta de condiciones para limitar la política de temas pueden provocar la exfiltración de datos, la denegación del servicio o la inyección no deseada de mensajes en el servicio por parte de un atacante.
Corrección
Para actualizar las políticas de acceso de un tema de SNS, consulte Información general sobre la administración del acceso en Amazon SNS en la Guía para desarrolladores del servicio Amazon Simple Notification Service.
