Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Amazon SNS
Estos AWS Security Hub controles evalúan el servicio y los recursos de Amazon Simple Notification Service (AmazonSNS).
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[SNS.1] SNS los temas deben cifrarse en reposo mediante AWS KMS
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Categoría: Proteger > Protección de datos > Cifrado de data-at-rest
Gravedad: media
Tipo de recurso: AWS::SNS::Topic
Regla de AWS Config : sns-encrypted-kms
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un SNS tema de Amazon está cifrado en reposo mediante claves gestionadas en AWS Key Management Service (AWS KMS). Los controles fallan si el SNS tema no usa una KMS clave para el cifrado del lado del servidor ()SSE. De forma predeterminada, SNS almacena los mensajes y archivos mediante el cifrado de disco. Para pasar este control, debe optar por utilizar una KMS clave de cifrado en su lugar. Esto agrega una capa adicional de seguridad y brinda una mayor flexibilidad de control de acceso.
El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. AWS APIse requieren permisos para descifrar los datos antes de que puedan leerse. Se recomienda cifrar los SNS temas con KMS claves para añadir un nivel de seguridad adicional.
Corrección
SSEPara habilitar un SNS tema, consulte Habilitar el cifrado del lado del servidor (SSE) para un SNS tema de Amazon en la Guía para desarrolladores de Amazon Simple Notification Service. Antes de poder usarloSSE, también debe configurar AWS KMS key políticas que permitan el cifrado de temas y el cifrado y descifrado de mensajes. Para obtener más información, consulte Configuración de AWS KMS permisos en la Guía para desarrolladores de Amazon Simple Notification Service.
[SNS.2] Debe habilitarse el registro del estado de la entrega para los mensajes de notificación enviados a un tema
importante
Security Hub retiró este control en abril de 2024. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: NIST .800-53.r5 AU-12, .800-53.r5 AU-2 NIST
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::SNS::Topic
Regla de AWS Config : sns-topic-message-delivery-notification-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el registro está habilitado para el estado de entrega de los mensajes de notificación enviados a un SNS tema de Amazon para los puntos de enlace. Este control falla si la notificación del estado de entrega de los mensajes no está habilitada.
El registro es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de los servicios. El registro del estado de entrega de los mensajes aporta información operativa, como la siguiente:
Saber si un mensaje se ha entregado al SNS punto de conexión de Amazon.
Identificar la respuesta enviada desde el SNS punto de enlace de Amazon a AmazonSNS.
Determinar el tiempo de permanencia del mensaje (el tiempo entre la marca de tiempo de publicación y la entrega a un SNS punto final de Amazon).
Corrección
Para configurar el registro del estado de entrega de un tema, consulta el estado de entrega de los SNS mensajes de Amazon en la Guía para desarrolladores de Amazon Simple Notification Service.
[SNS.3] SNS los temas deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::SNS::Topic
Regla de AWS Config : tagged-sns-topic (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS |
No default value
|
Este control comprueba si un SNS tema de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el tema no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el tema no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también lo ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a un SNS tema, consulte Configuración de etiquetas de SNS tema de Amazon en la Guía para desarrolladores de Amazon Simple Notification Service.
[SNS.4] las políticas de acceso a los SNS temas no deberían permitir el acceso público
Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente
Gravedad: alta
Tipo de recurso: AWS::SNS::Topic
Regla de AWS Config : sns-topic-no-public-access
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la política de acceso a los SNS temas de Amazon permite el acceso público. Este control falla si la política de acceso a los SNS temas permite el acceso público.
Se utiliza una política de SNS acceso con un tema concreto para restringir quién puede trabajar con ese tema (por ejemplo, quién puede publicar mensajes en él o quién puede suscribirse a él). SNSlas políticas pueden conceder acceso a otros Cuentas de AWS usuarios o a usuarios que estén dentro del tuyo Cuenta de AWS. El uso de un carácter comodín (*) en el campo Principle de la política de temas y la falta de condiciones para limitar la política de temas pueden provocar la exfiltración de datos, la denegación del servicio o la inyección no deseada de mensajes en el servicio por parte de un atacante.
Corrección
Para actualizar las políticas de acceso de un SNS tema, consulta Información general sobre la gestión del acceso en Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.
