Seguridad

Comprueba los grupos de seguridad adjuntos al Application Load Balancer y sus objetivos de Amazon EC2 . Los grupos de seguridad del equilibrador de carga de aplicación solo deben permitir los puertos entrantes que estén configurados en un oyente. Los grupos de seguridad de un destino no deben aceptar conexiones directas desde Internet en el mismo puerto en el que el destino recibe el tráfico del equilibrador de carga.

El riesgo de pérdida de datos o de ataques maliciosos aumenta si un grupo de seguridad permite el acceso a puertos que no están configurados para el equilibrador de carga o permite acceso directo a los objetivos.

Esta verificación excluye los siguientes grupos:

8604e947f2

Para mejorar la seguridad, asegúrese de que sus grupos de seguridad solo permitan los flujos de tráfico necesarios:

Comprueba si el período de retención del grupo de CloudWatch registros de Amazon está establecido en 365 días o en otro número especificado.

De forma predeterminada, los registros se conservan de forma indefinida y no caducan nunca. Sin embargo, puede ajustar la política de retención de cada grupo de registro para cumplir con las normativas del sector o los requisitos legales durante un periodo específico.

Puede especificar el tiempo mínimo de retención y los nombres de los grupos de registros mediante los MinRetentionTimeparámetros LogGroupNamesy de sus AWS Config reglas.

c18d2gz186

AWS Config Managed Rule: cw-loggroup-retention-period-check

Amarillo: el período de retención de un grupo de CloudWatch registros de Amazon es inferior al número mínimo de días deseado.

Configura un período de retención de más de 365 días para los datos de registro almacenados en Amazon CloudWatch Logs a fin de cumplir con los requisitos de conformidad.

Para obtener más información, consulte Cambiar la retención de datos de registro en CloudWatch los registros.

Alterar la retención de CloudWatch registros

Comprueba las versiones de SQL Server para las instancias de Amazon Elastic Compute Cloud (Amazon EC2) que se hayan ejecutado en las últimas 24 horas. Esta verificación le avisa si a las versiones les queda poco tiempo de soporte o si dicho soporte ya se ha vencido. Cada versión de SQL Server ofrece 10 años de soporte, que incluyen 5 años de soporte general y 5 años de asistencia ampliada. Una vez que se vence el plazo de soporte, la versión de SQL Server no recibirá actualizaciones de seguridad periódicas. La ejecución de aplicaciones con versiones de SQL Server no compatibles puede suponer riesgos de seguridad o conformidad.

Qsdfp3A4L3

Para modernizar las cargas de trabajo de SQL Server, considere refactorizar a bases de datos nativas de Nube de AWS como Amazon Aurora. Para obtener más información, consulte Modernizar las cargas de trabajo de Windows con. AWS

Para pasar a una base de datos completamente administrada, considere redefinir la plataforma a Amazon Relational Database Service (Amazon RDS). Para obtener más información, consulte Amazon RDS para SQL Server.

Para actualizar su SQL Server en Amazon EC2, considere la posibilidad de utilizar el manual de automatización para simplificar la actualización. Para obtener más información, consulte la Documentación de AWS Systems Manager.

Si no puede actualizar su SQL Server en Amazon EC2, considere el Programa de End-of-Support migración (EMP) para Windows Server. Para obtener más información, consulte el sitio web de EMP.

Esta verificación le avisa si a las versiones de Microsoft Windows Server les queda poco tiempo de soporte o si dicho soporte ya se ha vencido. Cada versión de Windows Server ofrece 10 años de soporte, que incluyen 5 años de soporte general y 5 años de soporte ampliado. Una vez que se llega al final del soporte, la versión de Windows Server no recibirá actualizaciones de seguridad periódicas. La ejecución de aplicaciones con versiones de Windows Server no compatibles puede suponer riesgos de seguridad o conformidad.

Qsdfp3A4L4

Para modernizar tus cargas de trabajo de Windows Server, ten en cuenta las distintas opciones disponibles en Modernize Windows Workloads with. AWS

Para actualizar las cargas de trabajo de Windows Server para que se ejecuten en versiones más recientes de este, puede usar un manual de procedimientos. Para obtener más información, consulte la documentación de AWS Systems Manager.

Realice los siguientes pasos:

Esta verificación le avisa si a las versiones les queda poco tiempo de soporte o si dicho soporte ya se ha vencido. Es importante tomar medidas, ya sea migrando al siguiente LTS o actualizándolo a Ubuntu Pro. Una vez que se llega al final del soporte, sus máquinas 18.04 LTS no recibirán actualizaciones de seguridad. Con una suscripción a Ubuntu Pro, su implementación de Ubuntu 18.04 LTS podrá recibir mantenimiento de seguridad ampliado (ESM) hasta 2028. Las vulnerabilidades de seguridad que no se hayan reparado exponen los sistemas a los piratas informáticos y corren el riesgo de sufrir una violación grave.

c1dfprch15

Rojo: una EC2 instancia de Amazon tiene una versión de Ubuntu que ha llegado al final del soporte estándar (Ubuntu 18.04 LTS, 18.04.1 LTS, 18.04.2 LTS, 18.04.3 LTS, 18.04.4 LTS, 18.04.5 LTS y 18.04.6 LTS).

Amarillo: una EC2 instancia de Amazon tiene una versión de Ubuntu que finalizará el soporte estándar en menos de 6 meses (Ubuntu 20.04 LTS, 20.04.1 LTS, 20.04.2 LTS, 20.04.3 LTS, 20.04.4 LTS, 20.04.5 LTS y 20.04.6 LTS).

Verde: todas las EC2 instancias de Amazon son compatibles.

Para actualizar las instancias LTS de Ubuntu 18.04 a una versión LTS compatible, siga los pasos que se mencionan en este artículo. Para actualizar las instancias de Ubuntu 18.04 LTS a Ubuntu Pro, visite la consola de AWS License Manager y siga los pasos que se mencionan en la guía del usuario de AWS License Manager. También puede consultar el blog de Ubuntu, donde se muestra una demostración paso a paso de la actualización de las instancias de Ubuntu a Ubuntu Pro.

Para obtener información sobre los precios, contáctese con Soporte.

Comprueba si el sistema de archivos Amazon EFS está montado mediante data-in-transit cifrado. AWS recomienda que los clientes utilicen el data-in-transit cifrado en todos los flujos de datos para protegerlos de la exposición accidental o del acceso no autorizado. Amazon EFS recomienda a los clientes utilizar la configuración de montaje ‘-o tls’ mediante el asistente de montaje de Amazon EFS para cifrar los datos en tránsito mediante TLS v1.2.

c1dfpnchv1

Amarillo: uno o más clientes NFS de su sistema de archivos Amazon EFS no utilizan la configuración de montaje recomendada que proporciona data-in-transit cifrado.

Verde: todos los clientes NFS de su sistema de archivos Amazon EFS utilizan la configuración de montaje recomendada que proporciona data-in-transit cifrado.

Para aprovechar la función de data-in-transit cifrado de Amazon EFS, le recomendamos que vuelva a montar el sistema de archivos mediante el asistente de montaje de Amazon EFS y la configuración de montaje recomendada.

Verifica la configuración de permisos de las instantáneas de volumen de Amazon Elastic Block Store (Amazon EBS) y le avisa si hay alguna instantánea accesible de manera pública.

Al hacer pública una instantánea, concedes a todos Cuentas de AWS y a los usuarios acceso a todos los datos de la instantánea. Si desea compartir una instantánea solo con usuarios o cuentas específicos, marque la instantánea como privada. A continuación, especifique el usuario o las cuentas con las que desea compartir los datos de la instantánea. Tenga en cuenta que si ha activado la opción Bloquear el acceso público en el modo ‘bloquear todo lo que se comparte’, las instantáneas públicas no serán de acceso público y no aparecerán en los resultados de esta verificación.

ePs02jT06w

Rojo: la instantánea del volumen de EBS es de acceso público.

A menos que esté seguro de que quiere compartir todos los datos de la instantánea con todos Cuentas de AWS los usuarios, modifique los permisos: marque la instantánea como privada y, a continuación, especifique las cuentas a las que desea conceder permisos. Para obtener más información, consulte Compartir una instantánea de Amazon EBS. Utilice el bloqueo del acceso público de instantáneas de EBS para controlar la configuración que permite el acceso público a los datos. Esta comprobación no se puede excluir de la vista de la Trusted Advisor consola.

Para modificar los permisos de las instantáneas directamente, utilice un manual de instrucciones en la AWS Systems Manager consola. Para obtener más información, consulte AWSSupport-ModifyEBSSnapshotPermission.

Instantáneas de Amazon EBS

Amazon RDS admite el cifrado en reposo para todos los motores de bases de datos mediante las claves que administra en AWS Key Management Service. En una instancia de base de datos activa con cifrado de Amazon RDS, los datos almacenados en reposo en el almacenamiento están cifrados, de forma similar a las copias de seguridad, las réplicas de lectura y las instantáneas automatizadas.

Si el cifrado no está activado al crear un clúster de base de datos de Aurora, entonces, debe restaurar una instantánea descifrada en un clúster de base de datos cifrado.

c1qf5bt005

Rojo: los recursos de Aurora de Amazon RDS no tienen el cifrado activado.

Active el cifrado de los datos en reposo de su clúster de base de datos.

Puede activar el cifrado al crear una instancia de base de datos o utilizar una solución alternativa para activar el cifrado en una instancia de base de datos activa. No puede modificar un clúster de base de datos descifrado en un clúster de base de datos cifrado. Sin embargo, sí es posible restaurar una instantánea sin cifrar en un clúster de base de datos cifrado. Al restaurar desde la instantánea descifrada, debe especificar una AWS KMS clave.

Para obtener más información, consulte Cifrado de recursos de Amazon Aurora.

Los recursos de su base de datos no están ejecutando la última versión secundaria del motor de base de datos. La última versión secundaria contiene las últimas revisiones de seguridad y otras mejoras.

c1qf5bt003

Amarillo: los recursos de su base de datos de Amazon no están ejecutando la última versión secundaria del motor de base de datos.

Actualice a la última versión del motor.

Le recomendamos que su base de datos esté actualizada con la última versión secundaria del motor de base de datos, ya que incluirá las últimas correcciones de seguridad y funcionalidad. Las actualizaciones de versiones secundarias del motor de base de datos contienen solo los cambios compatibles con versiones secundarias anteriores de la misma versión principal del motor de base de datos.

Para obtener más información, consulte Cómo actualizar la versión del motor de la instancia de base de datos.

Verifica la configuración de permisos de las instantáneas de base de datos de Amazon Relational Database Service (Amazon RDS) y le avisa si hay alguna instantánea marcada como pública.

Cuando hace pública una instantánea, permite a todos los usuarios Cuentas de AWS y a todos los usuarios acceder a todos los datos de la instantánea. Si desea compartir una instantánea solo con usuarios o cuentas específicos, marque la instantánea como privada. A continuación, especifique el usuario o las cuentas con las que desea compartir los datos de la instantánea.

rSs93HQwa1

Rojo: la instantánea de Amazon RDS está marcada como pública.

A menos que esté seguro de que quiere compartir todos los datos de la instantánea con todos Cuentas de AWS los usuarios, modifique los permisos: marque la instantánea como privada y, a continuación, especifique las cuentas a las que desea conceder permisos. Para obtener más información, consulte Compartir una instantánea de base de datos o una instantánea de clúster de base de datos. Esta comprobación no se puede excluir de la vista de la Trusted Advisor consola.

Para modificar los permisos de las instantáneas directamente, puede utilizar un manual de instrucciones en la AWS Systems Manager consola. Para obtener más información, consulte AWSSupport-ModifyRDSSnapshotPermission.

Copia de seguridad y restauración de instancias de base de datos de Amazon RDS

Verifica las configuraciones de grupos de seguridad de Amazon Relational Database Service (Amazon RDS) y avisa cuando una regla de grupo de seguridad concede un acceso excesivamente permisivo a la base de datos. La configuración recomendada para una regla de grupo de seguridad es permitir el acceso únicamente desde grupos de seguridad específicos de Amazon Elastic Compute Cloud (Amazon EC2) o desde una dirección IP específica.

nNauJisYIT

EC2-Classic se retiró el 15 de agosto de 2022. Se recomienda mover las instancias de Amazon RDS a una VPC y utilizar los grupos de seguridad de EC2 Amazon. Para obtener más información sobre cómo mover una instancia de base de datos a una VPC, consulte Mover una instancia de base de datos que no está en una VPC a una VPC.

Si no se pueden migrar sus instancias de Amazon RDS a una VPC, revise las reglas de los grupos de seguridad y limite el acceso a intervalos de IP o direcciones IP autorizadas. Para editar un grupo de seguridad, utilice la DBSecurity GroupIngress API Authorize o la. Consola de administración de AWS Para obtener más información, consulte Trabajo con grupos de seguridad de base de datos.

Amazon RDS admite el cifrado en reposo para todos los motores de bases de datos mediante las claves que administra en AWS Key Management Service. En una instancia de base de datos activa con cifrado de Amazon RDS, los datos almacenados en reposo en el almacenamiento están cifrados, de forma similar a las copias de seguridad, las réplicas de lectura y las instantáneas automatizadas.

Si el cifrado no está activado al crear una instancia de base de datos, se debe restaurar una copia cifrada de la instantánea descifrada de la instancia dantes de activar el cifrado.

c1qf5bt006

Rojo: los recursos de Amazon RDS no tienen el cifrado activado.

Active el cifrado de los datos en reposo de su instancia de base de datos.

Solo se puede cifrar una instancia de base de datos al crearla. Para cifrar una instancia de base de datos activa existente:

Para obtener más información, consulte los siguientes recursos:

Verifica las zonas alojadas de Amazon Route 53 con registros CNAME que apuntan directamente a los nombres de host del bucket de Amazon S3 y le avisa si su CNAME no coincide con el nombre del bucket de S3.

c1ng44jvbm

Rojo: la zona alojada de Amazon Route 53 tiene registros CNAME que indican que los nombres de host del bucket de S3 no coinciden.

Verde: no se han encontrado registros CNAME que no coinciden en su zona alojada de Amazon Route 53.

Al apuntar registros CNAME a nombres de host del bucket de S3, debe asegurarse de que existe un bucket coincidente para cualquier registro CNAME o alias que configure. De este modo, evita el riesgo de que los registros CNAME sean falsificados. También evita que cualquier AWS usuario no autorizado aloje contenido web defectuoso o malintencionado en su dominio.

Para evitar apuntar los registros CNAME directamente a los nombres de host del bucket de S3, considere la posibilidad de utilizar el control de acceso de origen (OAC) para acceder a los activos web del bucket de S3 a través de Amazon. CloudFront

Para obtener más información sobre cómo asociar CNAME a un nombre de host de un bucket de Amazon S3, consulte Personalización de Amazon URLs S3 con registros CNAME.

Para cada registro MX, verifica un registro TXT asociado que contenga un valor SPF válido. El valor del registro TXT debe comenzar con “v=spf1". Los tipos de registro SPF están obsoletos por el Internet Engineering Task Force (IETF). Con Route 53, se recomienda utilizar un registro TXT en lugar de un registro SPF. Trusted Advisor muestra esta marca en verde cuando un registro MX tiene al menos un registro TXT asociado con un valor SPF válido.

c9D319e7sG

Para cada conjunto de registros de recursos MX, cree un conjunto de registros de recursos TXT que contenga un valor SPF válido. Para obtener más información, consulte Marco de directivas de remitentes: sintaxis de registro SPF y Creación de conjuntos de registros de recursos con la consola Amazon Route 53.

Comprueba los depósitos de Amazon Simple Storage Service (Amazon S3) que tienen permisos de acceso abierto o que permiten el acceso a cualquier usuario autenticado. AWS

Esta verificación examina los permisos de bucket explícitos, así como las políticas de bucket que podrían invalidar dichos permisos. No se recomienda conceder permisos de acceso a la lista a todos los usuarios para un bucket de Amazon S3. Estos permisos pueden permitir que usuarios no deseados generen listas de objetos en el bucket a una frecuencia elevada, lo que puede dar lugar a cargos superiores a los esperados. Los permisos que otorgan acceso de carga y eliminación a todos los usuarios pueden provocar vulnerabilidades de seguridad en su bucket.

Pfx0RwqBli

Si un bucket permite el acceso abierto, determine si este tipo de acceso es realmente necesario. Por ejemplo, para alojar un sitio web estático, puede utilizar Amazon CloudFront para ofrecer el contenido alojado en Amazon S3. Consulte Restringir el acceso a un origen de Amazon S3 en la Guía para CloudFront desarrolladores de Amazon. Cuando sea posible, actualice los permisos del bucket para restringir el acceso al propietario o a usuarios específicos. Utilice el bloqueo del acceso público de Amazon S3 para controlar la configuración que permite el acceso público a los datos. Consulte Configuración de permisos de acceso a buckets y objetos.

Administración de permisos de acceso para los recursos de Amazon S3

Establecer la configuración del bloqueo del acceso público para sus buckets de Amazon S3

Comprueba si las conexiones de emparejamiento de VPC tienen activada la resolución de DNS tanto para el aceptador como para el solicitante. VPCs

La resolución de DNS para una conexión de emparejamiento de VPC permite la resolución de nombres de host de DNS públicos en IPv4 direcciones privadas cuando se consultan desde su VPC. Esto permite el uso de nombres DNS para la comunicación entre recursos interconectados. VPCs La resolución de DNS en las conexiones de emparejamiento de VPC hace que el desarrollo y la administración sean más sencillos y menos propensos a errores, y garantiza que los recursos siempre se comuniquen de forma privada a través de la conexión de emparejamiento de VPC.

Puede especificar la VPC mediante los parámetros de IDs los VPCIdS de sus reglas. AWS Config

Para obtener más información, consulte Habilitación de la resolución de DNS para la conexión de emparejamiento de VPC.

c18d2gz124

AWS Config Managed Rule: vpc-peering-dns-resolution-check

Amarillo: la resolución de DNS no está habilitada tanto para el aceptador como para el solicitante en VPCs una conexión de emparejamiento de VPC.

Active la resolución de DNS para sus conexiones de emparejamiento de VPC.

Verifica que los grupos de destino del equilibrador de carga de aplicación (ALB) utilizan el protocolo HTTPS para cifrar la comunicación en tránsito para los tipos de instancia o IP de destino de backend. Las solicitudes HTTPS entre el ALB y los destinos de backend ayudan a mantener la confidencialidad de los datos en tránsito.

c2vlfg0p1w

Configure los tipos de instancia o IP de destino de backend para que admitan el acceso HTTPS y cambie el grupo de destino para usar el protocolo HTTPS para cifrar la comunicación entre los tipos de instancia o IP de ALB y de destino backend.

Imponga el cifrado en tránsito

Tipos de destino del equilibrador de carga de aplicación

Configuración de enrutamiento del equilibrador de carga de aplicación

Protección de datos en Elastic Load Balancing

Comprueba si los AWS Backup almacenes tienen una política basada en recursos adjunta que impide la eliminación de los puntos de recuperación.

La política basada en recursos evita la eliminación inesperada de puntos de recuperación, lo que permite reforzar el control de acceso con privilegios mínimos a los datos de copia de seguridad.

Puede especificar si no desea AWS Identity and Access Management ARNs que la regla registre en el principalArnListparámetro de sus reglas. AWS Config

c18d2gz152

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

Amarillo: hay AWS Backup almacenes que no tienen una política basada en los recursos para evitar la eliminación de los puntos de recuperación.

Cree políticas basadas en recursos para sus AWS Backup almacenes a fin de evitar la eliminación inesperada de los puntos de recuperación.

La política debe incluir una declaración de «Denegar» con los permisos de copia de seguridad:DeleteRecoveryPoint, copia de seguridad: UpdateRecoveryPointLifecycle y copia de seguridad:. PutBackupVaultAccessPolicy

Para obtener más información, consulte Configuración de políticas de acceso en almacenes de copias de seguridad.

Comprueba el uso de AWS CloudTrail. CloudTrail proporciona una mayor visibilidad de la actividad en su Cuenta de AWS. Para ello, registra información sobre las llamadas a la AWS API que se realizan en la cuenta. Puede utilizar estos registros para determinar, por ejemplo, qué acciones llevó a cabo un usuario determinado durante un periodo de tiempo específico o qué usuarios llevaron a cabo acciones en un recurso determinado durante un periodo de tiempo especificado.

Dado que CloudTrail entrega los archivos de registro a un bucket de Amazon Simple Storage Service (Amazon S3) CloudTrail , debe tener permisos de escritura para el bucket. Si se aplica un registro de seguimiento a todas las Regiones de AWS (la opción predeterminada cuando se crea un nuevo registro de seguimiento), este aparecerá varias veces en el informe de Trusted Advisor .

c25hn9x03v

Para crear un registro de seguimiento o iniciar el registro desde la consola, abra la consola de AWS CloudTrail.

Para iniciar el registro, consulte Detener e iniciar la ejecución de un registro de seguimiento.

Si tiene errores de entrega de registros, entonces verifique que el bucket exista y que la política necesaria esté adjuntada al bucket. Consulte Política de bucket de Amazon S3.

Verifica las funciones de Lambda cuya versión $LATEST está configurada para utilizar un tiempo de ejecución que pronto estará o que ya está obsoleto. Los tiempos de ejecución obsoletos no pueden recibir actualizaciones de seguridad ni soporte técnico.

Las versiones publicadas de las funciones Lambda son inmutables, lo que significa que se pueden invocar pero no actualizar. Solo se puede actualizar la versión $LATEST de una función de Lambda. Para obtener más información, consulte Versiones de la función Lambda.

L4dfs2Q4C5

Si tiene funciones que se ejecutan en un tiempo de ejecución que estará obsoleto en breve, debe prepararse para migrar a un tiempo de ejecución compatible. Para obtener más información, consulte Política de soporte de tiempo de ejecución.

Le recomendamos que elimine las versiones de funciones anteriores que ya no utilice.

Tiempos de ejecución de Lambda

Comprueba si hay problemas de alto riesgo (HRIs) en sus cargas de trabajo en el pilar de seguridad. Esta verificación se basa en las revisiones de AWS-Well Architected. Los resultados de las verificaciones dependen de si ha completado la evaluación de la carga de trabajo con AWS Well-Architected.

Wxdfp4B1L3

AWS Well-Architected detectó problemas de alto riesgo durante la evaluación de la carga de trabajo. Estos problemas presentan oportunidades para reducir el riesgo y ahorrar dinero. Inicie sesión en la herramienta AWS Well-Architected para revisar las respuestas y tomar medidas para resolver los problemas activos.

Comprueba los certificados SSL en busca de nombres de dominio CloudFront alternativos en el almacén de certificados de IAM. Esta verificación le avisa si un certificado ha caducado, si caducará pronto, si utiliza cifrado obsoleto o si no está configurado correctamente para la distribución.

Cuando caduca un certificado personalizado para un nombre de dominio alternativo, es posible que los navegadores que muestran tu CloudFront contenido muestren un mensaje de advertencia sobre la seguridad de tu sitio web. Los certificados cifrados mediante el algoritmo hash SHA-1 están pronto estarán obsoletos para la mayoría de navegadores web como, por ejemplo, Chrome y Firefox.

Un certificado debe contener un nombre de dominio que coincida con el nombre de dominio de origen o el nombre de dominio del encabezado de host de una solicitud de lector. Si no coincide, CloudFront devuelve al usuario el código de estado HTTP 502 (puerta de enlace incorrecta). Para obtener más información, consulte Usar nombres de dominio alternativos y HTTPS.

N425c450f2

Se recomienda usarlo AWS Certificate Manager para aprovisionar, administrar e implementar los certificados de servidor. Con ACM, puede solicitar un certificado nuevo o implementar un ACM existente o un certificado externo en los AWS recursos. Los certificados que proporciona ACM son gratuitos y pueden renovarse automáticamente. Para obtener más información sobre ACM, consulte la Guía del usuario de AWS Certificate Manager. Para comprobar si el Regiones de AWS ACM es compatible, consulte los AWS Certificate Manager puntos finales y las cuotas en. Referencia general de AWS

Renueve certificados caducados o que estén a punto de caducar. Para obtener más información sobre la renovación de un certificado, consulte Administración de certificados de servidor en IAM.

Reemplace el certificado que se cifró con el algoritmo hash SHA-1 por otro que se haya cifrado con el algoritmo hash SHA-256.

Reemplace el certificado por otro que contenga los valores aplicables en los campos Common Name (Nombre común) o Subject Alternative Domain Names (Nombres de dominio alternativos del sujeto).

Usar una conexión HTTPS para acceder a los objetos

Importar certificados

AWS Certificate Manager Guía del usuario

Verifica el servidor de origen en busca de certificados SSL que hayan caducado, que estén a punto de caducar, que no se encuentren o que utilicen un cifrado obsoleto. Si un certificado presenta uno de estos problemas, CloudFront responde a las solicitudes de tu contenido con el código de estado HTTP 502, Bad Gateway.

Los certificados que se cifraron mediante el algoritmo hash SHA-1 comienzan a estar obsoletos en navegadores web como Chrome y Firefox. En función del número de certificados SSL que tengas asociados a tus CloudFront distribuciones, esta comprobación puede añadir unos céntimos al mes a tu factura con tu proveedor de alojamiento web, por ejemplo, AWS si utilizas Amazon EC2 o ELB como origen de tu CloudFront distribución. Esta comprobación no valida la cadena de su certificado de origen ni las autoridades de certificación. Puedes comprobarlos en tu configuración. CloudFront

N430c450f2

Renueve el certificado en el origen si ha caducado o está a punto de caducar.

Agregue un certificado si no existe uno.

Reemplace el certificado que se cifró con el algoritmo hash SHA-1 por otro que se haya cifrado con el algoritmo hash SHA-256.

Uso de nombres de dominio alternativos y HTTPS

Comprueba los balanceadores de carga clásicos con dispositivos de escucha que no utilizan las configuraciones de seguridad recomendadas para la comunicación cifrada. AWS recomienda utilizar un protocolo seguro (HTTPS o SSL), políticas de up-to-date seguridad y sistemas de cifrado y protocolos que sean seguros. Cuando se utiliza un protocolo seguro para una conexión frontend (del cliente al equilibrador de carga), las solicitudes se cifran entre los clientes y el equilibrador de carga, lo que crea un entorno más seguro. Esto crea un entorno más seguro. Elastic Load Balancing proporciona políticas de seguridad predefinidas con cifrados y protocolos que se adhieren a las prácticas recomendadas de seguridad de AWS . Las nuevas versiones de las políticas predefinidas se publican a medida que están disponibles las nuevas configuraciones.

a2sEc6ILx

Si es necesario que el tráfico al equilibrador de carga sea seguro, utilice el protocolo HTTPS o SSL para la conexión fron-tend.

Actualice el equilibrador de carga a la última versión de la política de seguridad SSL predefinida.

Utilice únicamente los cifrados y protocolos recomendados.

Para obtener más información, consulte Configuraciones de escucha para ELB.

Verifica si hay equilibradores de carga configurados con un grupo de seguridad que falta o un grupo de seguridad que permite el acceso a puertos que no están configurados para el equilibrador de carga.

El riesgo de pérdida de datos o de ataques maliciosos aumenta si un grupo de seguridad permite el acceso a puertos que no están configurados para el balanceador de carga.

xSqX82fQu

Configure las reglas del grupo de seguridad para restringir el acceso solo a aquellos puertos y protocolos definidos en la configuración del agente de escucha del equilibrador de carga, además del protocolo de ICMP para admitir la detección de MTU de ruta. Consulte Agentes de escucha para el equilibrador de carga clásico y Grupos de seguridad para equilibradores de carga de una VPC.

Si falta un grupo de seguridad, aplique un grupo de seguridad nuevo al equilibrador de carga. Cree reglas de grupos de seguridad que restrinjan el acceso solo a esos puertos y protocolos que se han definido en la configuración del agente de escucha del equilibrador de carga. Consulte Grupos de seguridad para los equilibradores de carga de una VPC.

Comprueba en los repositorios de códigos populares las claves de acceso que han estado expuestas al público y el uso irregular de Amazon Elastic Compute Cloud (Amazon EC2) que podría ser el resultado de una clave de acceso comprometida.

Las claves de acceso constan de un ID de clave de acceso y una clave de acceso secreta. Las claves de acceso expuestas suponen un riesgo de seguridad para su cuenta y para otros usuarios. Además, pueden ocasionar cargos excesivos por actividades no autorizadas o abusos e infracciones del Acuerdo de cliente de AWS.

Si su clave de acceso se ha visto expuesta, tome medidas de inmediato para proteger su cuenta. Para proteger su cuenta de cargos excesivos, limita AWS temporalmente su capacidad de crear algunos AWS recursos. Esto no hace que su cuenta sea segura. Solo limita parcialmente el uso no autorizado que podría ocasionar cargos adicionales.

Si se muestra una fecha límite para una clave de acceso, AWS puede suspenderla Cuenta de AWS si el uso no autorizado no se detiene antes de esa fecha. Si cree que esta alerta es un error, póngase en contacto con AWS Support.

Trusted Advisor Es posible que la información que se muestra en no refleje el estado más reciente de su cuenta. Las claves de acceso expuestas se marcan como resueltas cuando se han resuelto todas las claves de acceso expuestas de la cuenta. Esta sincronización de datos puede llevar hasta una semana.

12Fnkpl8Y5

Elimine la clave de acceso afectada lo antes posible. Si la clave está asociada a un usuario de IAM, consulte Administración de las claves de acceso de los usuarios de IAM.

Compruebe si se ha producido un uso no autorizado en la cuenta. Inicie sesión en la Consola de administración de AWS y compruebe cada consola de servicio para detectar recursos sospechosos. Presta especial atención a las instancias de Amazon en ejecución, a las solicitudes de EC2 instancias puntuales, a las claves de acceso y a los usuarios de IAM. También puede comprobar el uso general en la Consola de administración de costos y facturación.

Verifica si hay claves de acceso de IAM activas que no se han rotado en los últimos 90 días.

Cuando se rotan las claves de acceso de forma periódica, se reduce la posibilidad de que pueda utilizarse una clave comprometida sin su conocimiento para acceder a los recursos. A efectos de esta verificación, se considera como última fecha y hora de rotación la fecha y la hora en que se creó o activó la clave de acceso. El número y la fecha de la clave de acceso proceden de la información de access_key_1_last_rotated y access_key_2_last_rotated del informe de credenciales de IAM más reciente.

Dado que la frecuencia de regeneración de un informe de credenciales está restringida, es posible que al actualizar esta comprobación no se reflejen los cambios recientes. Para obtener más información, consulte Obtención de informes de credenciales para la cuenta de Cuenta de AWS.

Para crear y rotar las claves de acceso, un usuario debe tener los permisos adecuados. Para obtener más información, consulte Permitir a los usuarios administrar sus propias contraseñas, claves de acceso y claves SSH.

DqdJqYeRm5

Rote con regularidad las claves de acceso. Consulte Rotación de las claves de acceso y Administración de las claves de acceso de los usuarios de IAM.

Verifica si existe el acceso externo de IAM Access Analyzer a nivel de cuenta.

Los analizadores de acceso externo de IAM Access Analyzer ayudan a identificar los recursos de su organización en sus cuentas que se comparten con una entidad externa. A continuación, el analizador crea un panel centralizado con los resultados. Una vez activado el nuevo analizador en la consola de IAM, los equipos de seguridad pueden priorizar las cuentas que van a revisar en función de los permisos excesivos. Un analizador de acceso externo genera resultados sobre el acceso público y el acceso entre cuentas a los recursos, y se proporciona sin costo adicional.

07602fcad6

La creación de un analizador de acceso externo por cuenta ayuda a los equipos de seguridad a priorizar qué cuentas revisar en función de los permisos excesivos. Para obtener más información, consulte Introducción a los resultados de AWS Identity and Access Management Access Analyzer.

Además, es una buena práctica utilizar el analizador de acceso no utilizado, una característica de pago que simplifica la inspección del acceso no utilizado para orientarle hacia el nivel de privilegio mínimo. Para más información, consulte Identifying unused access granted to IAM users and roles.

Verifica la política de contraseñas de su cuenta y avisa cuando no se ha habilitado una política de contraseñas o si no se han habilitado los requisitos de contenido de contraseñas.

Los requisitos de contenido de contraseñas aumentan la seguridad general del entorno de AWS al requerir la creación de contraseñas de usuario seguras. Al crear o cambiar una política de contraseñas, el cambio se aplica de inmediato para los nuevos usuarios, pero no requiere que los usuarios existentes cambien sus contraseñas.

Yw2K9puPzl

Si algunos requisitos de contenido no estuvieran habilitados, considere habilitarlos. Si no hay una política de contraseñas habilitada, cree y configure una. Consulte Configuración de una política de contraseñas de la cuenta para usuarios de IAM.

Para acceder a Consola de administración de AWS, los usuarios de IAM necesitan contraseñas. Como práctica recomendada, AWS recomienda encarecidamente que, en lugar de crear usuarios de IAM, utilice la federación. La federación permite a los usuarios utilizar sus credenciales corporativas existentes para iniciar sesión en Consola de administración de AWS. Utilice IAM Identity Center para crear o federar el usuario y, a continuación, asuma un rol de IAM en una cuenta.

Para obtener más información sobre los proveedores de identidad y la federación, consulte Proveedores de identidad y federación en la Guía del usuario de IAM. Para obtener más información sobre IAM Identity Center, consulte la Guía del usuario de IAM Identity Center.

Administración de contraseñas

Verifica si la Cuenta de AWS está configurada para el acceso a través de un proveedor de identidad (IdP) compatible con SAML 2.0. Asegúrese de seguir las prácticas recomendadas al centralizar las identidades y configurar los usuarios en un proveedor de identidades externo o AWS IAM Identity Center.

c2vlfg0p86

Active IAM Identity Center para Cuenta de AWS. Para obtener más información, consulte Habilitación de IAM Identity Center. Tras activar el IAM Identity Center, se podrán realizar tareas habituales, como crear un conjunto de permisos y asignar el acceso a los grupos del centro de identidad. Para obtener más información, consulte Tareas comunes.

Se recomienda administrar los usuarios humanos en el IAM Identity Center. Sin embargo, puede activar el acceso de usuario federado con IAM para usuarios humanos a corto plazo para implementaciones a pequeña escala. Para obtener más información, consulte Federación SAML 2.0..

¿Qué es IAM Identity Center?

¿Qué es IAM?

Verifica las credenciales del usuario raíz de una cuenta y advierte si la autenticación multifactor (MFA) no está habilitada.

Para aumentar la seguridad, le recomendamos que proteja su cuenta mediante la MFA, que requiere que el usuario introduzca un código de autenticación único desde su hardware o dispositivo virtual de MFA al interactuar con los sitios web y los Consola de administración de AWS sitios web asociados.

7DAFEmoDos

Si se trata de una cuenta de miembro AWS Organizations: inicie sesión en su cuenta de administración, habilite la función de administración del acceso raíz en IAM y elimine las credenciales de usuario raíz de esta cuenta de miembro. Consulte Centralización del acceso raíz para las cuentas de miembros.

Si se trata de una cuenta independiente o de administración, inicie sesión en su cuenta raíz y active un dispositivo de MFA. AWS Organizations Para obtener información, consulte Verificar el estado de MFA y Autenticación multifactor en IAM AWS

Comprueba si la clave de acceso del usuario raíz está presente. Se recomienda encarecidamente no crear pares de claves de acceso para el usuario raíz. Dado que solo unas pocas tareas requieren el usuario raíz y, por lo general, las realiza con poca frecuencia, le recomendamos iniciar sesión en la Consola de administración de AWS para realizar las tareas de usuario raíz. Antes de crear claves de acceso, revise las alternativas a las claves de acceso a largo plazo.

c2vlfg0f4h

Elimine las claves de acceso para el usuario raíz. Consulte Eliminación de claves de acceso para el usuario raíz. Esta tarea debe realizarla el usuario raíz. No puede realizar estos pasos como usuario o rol de IAM.

Verifica los grupos de seguridad en busca de reglas que permitan el acceso sin restricciones (0.0.0.0/0) a puertos específicos.

El acceso sin restricciones aumenta las posibilidades de que se produzcan actividades maliciosas (hackeos, denial-of-service ataques, pérdida de datos). Los puertos con mayor riesgo se marcan en rojo y los que tienen menos riesgo en amarillo. Los puertos marcados en verde son los que suelen utilizar aplicaciones que requieren acceso sin restricciones, como, por ejemplo, HTTP y SMTP.

Si ha configurado de manera intencionada sus grupos de seguridad de esta manera, le recomendamos que utilice medidas de seguridad adicionales para proteger su infraestructura (como, por ejemplo, tablas IP).

HCP4007jGY

Restrinja el acceso solo a aquellas direcciones IP que lo necesiten. Para restringir el acceso a una dirección IP específica, establezca el sufijo en /32 (por ejemplo, 192.0.2.10/32). Asegúrese de eliminar las reglas excesivamente permisivas después de crear reglas más restrictivas.

Revise y elimine los grupos de seguridad no utilizados. Se puede utilizar AWS Firewall Manager para configurar y administrar de forma centralizada los grupos de seguridad a escala. Para obtener más información, consulte la AWS Firewall Manager documentación. Cuentas de AWS

Considere usar el Administrador de sesiones de Systems Manager para el acceso SSH (puerto 22) y RDP (puerto 3389) a las instancias. EC2 Con el administrador de sesiones, puede acceder a sus EC2 instancias sin habilitar los puertos 22 y 3389 en el grupo de seguridad.

Verifica los grupos de seguridad en busca de reglas que permitan el acceso sin restricciones a un recurso.

El acceso sin restricciones aumenta las posibilidades de que se produzcan actividades maliciosas (hackeos, denial-of-service ataques, pérdida de datos).

1iG5NDGVre

Restrinja el acceso solo a aquellas direcciones IP que lo necesiten. Para restringir el acceso a una dirección IP específica, establezca el sufijo en /32 (por ejemplo, 192.0.2.10/32). Asegúrese de eliminar las reglas excesivamente permisivas después de crear reglas más restrictivas.

Revise y elimine los grupos de seguridad no utilizados. Puede utilizarlos AWS Firewall Manager para configurar y administrar de forma centralizada los grupos de seguridad a escala. Para obtener más información, consulte la AWS Firewall Manager documentación. Cuentas de AWS

Considere usar el Administrador de sesiones de Systems Manager para el acceso SSH (puerto 22) y RDP (puerto 3389) a las instancias. EC2 Con el administrador de sesiones, puede acceder a sus EC2 instancias sin habilitar los puertos 22 y 3389 en el grupo de seguridad.