Controles de Security Hub para el escalado automático
Estos controles de Security Hub evalúan los servicios y recursos de Amazon EC2 Auto Scaling.
Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[AutoScaling.1] Los grupos de escalado automático asociados con un equilibrador de carga deben usar comprobaciones de estado de ELB
Requisitos relacionados: PCI DSS v3.2.1/2.2, NIST.800-53.r5 CA-7, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 SI-2
Categoría: Identificar - Inventario
Gravedad: baja
Tipo de recurso: AWS::AutoScaling::AutoScalingGroup
AWS Config Regla de: autoscaling-group-elb-healthcheck-required
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de Amazon EC2 Auto Scaling que está asociado a un equilibrador de carga, utiliza comprobaciones de estado de Elastic Load Balancing (ELB). El control falla si el grupo de escalado automático no utiliza comprobaciones de estado de ELB.
Las comprobaciones de estado de ELB ayudan a garantizar que el grupo de escalado automático pueda determinar el estado de una instancia en función de las pruebas adicionales que proporciona el equilibrador de carga. El uso de las comprobaciones de estado del equilibrador de carga elástico también puede ayudar a respaldar la disponibilidad de las aplicaciones que usan grupos de escalado automático de EC2.
Corrección
Para agregar comprobaciones de estado de Equilibrador de carga elástico, consulte Adición de comprobaciones de estado de Equilibrador de carga elástico en la Guía del usuario de Amazon EC2 Auto Scaling.
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::AutoScaling::AutoScalingGroup
AWS Config Regla de: autoscaling-multiple-az
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Cantidad mínima de zonas de disponibilidad |
Enum |
|
|
Este control comprueba si un grupo de Amazon EC2 Auto Scaling abarca al menos la cantidad especificada de zonas de disponibilidad (AZ). Se produce un error en el control si un grupo de escalado automático no abarca al menos la cantidad especificada de AZ. A menos que se proporcione un valor personalizado de parámetro para la cantidad mínima de AZ, Security Hub utiliza un valor predeterminado de dos AZ.
Un grupo de escalado automático que no abarque varias AZ no puede lanzar instancias en otra AZ para compensar si la AZ única configurada deja de estar disponible. Sin embargo, en algunos casos de uso, puede preferirse un grupo de escalado automático con una sola zona de disponibilidad, como los trabajos por lotes o cuando los costos de transferencia entre zonas de disponibilidad deben mantenerse al mínimo. En esos casos, puede deshabilitar este control o suprimir sus resultados.
Corrección
Para agregar AZ a un grupo de escalado automático existente, consulte Agregación o eliminación de zonas de disponibilidad en la Guía del usuario de Amazon EC2 Auto Scaling.
[AutoScaling.3] Las configuraciones de lanzamiento de grupos de escalado automático deben configurar las instancias de EC2 para que requieran servicio de metadatos de instancias versión 2 (IMDSv2) (IMDSv2)
Requisitos relacionados: NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.6
Categoría: Proteger - Configuración de red segura
Gravedad: alta
Tipo de recurso: AWS::AutoScaling::LaunchConfiguration
AWS Config Regla de: autoscaling-launchconfig-requires-imdsv2
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si IMDSv2 está habilitado en todas las instancias lanzadas por los grupos de Amazon EC2 Auto Scaling. El control falla si la versión del servicio de metadatos de instancias (IMDS) no está incluida en la configuración de lanzamiento o está configurada comotoken optional, que es una configuración que permite IMDSv1 o IMDSv2.
El IMDS brinda datos sobre una instancia que puede utilizar para configurar o administrar la instancia en ejecución.
La versión 2 del IMDS añade nuevas protecciones que no estaban disponibles en IMDSv1 para proteger aún más las instancias de EC2.
Corrección
Un grupo de escalado automático asocia con una configuración de lanzamiento cada vez. No se puede modificar una configuración de lanzamiento después de crearla. Para cambiar la configuración de lanzamiento de un grupo de escalado automático, utilice una configuración de lanzamiento existente como punto de partida para una nueva configuración de lanzamiento con IMDSv2 habilitado. Para obtener más información, consulte Configurar las opciones de metadatos de la instancia para nuevas instancias en la Guía del usuario de Amazon EC2.
[AutoScaling.4] La configuración de inicio de grupo de escalado automático no debe tener un límite de saltos de respuesta de metadatos superior a 1
importante
Security Hub retiró este control en abril de 2024. Para obtener más información, consulte Registro de cambios de los controles del CSPM de Security Hub.
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)
Categoría: Proteger - Configuración de red segura
Gravedad: alta
Tipo de recurso: AWS::AutoScaling::LaunchConfiguration
AWS Config Regla de: autoscaling-launch-config-hop-limit
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba el número de saltos de red que puede recorrer un token de metadatos. El control falla si el límite de saltos de respuesta de los metadatos es superior a 1.
El servicio de metadatos de instancias (IMDS) proporciona información de metadatos sobre una instancia de Amazon EC2 y resulta útil para la configuración de aplicaciones. Restringir la respuesta HTTP de PUT del servicio de metadatos a solo la instancia EC2 protege al IMDS del uso no autorizado.
El campo Tiempo de vida (TTL) del paquete IP se reduce en uno en cada salto. Esta reducción se puede utilizar para garantizar que el paquete no viaje fuera de EC2. IMDSv2 protege las instancias de EC2 que pueden estar mal configuradas como enrutadores abiertos, firewalls de capa 3, VPN, túneles o dispositivos NAT, lo que impide que usuarios no autorizados recuperen los metadatos. Con IMDSv2, la respuesta de PUT que contiene el token secreto no puede viajar fuera de la instancia porque el límite de saltos de respuesta de metadatos predeterminado se ha establecido como 1. Sin embargo, si este valor es superior a 1, el token puede salir de la instancia EC2.
Corrección
Para modificar el límite de saltos de respuesta de metadatos para una configuración de lanzamiento existente, consulte Modificar las opciones de metadatos de la instancia para las instancias existentes en la Guía del usuario de Amazon EC2.
[AutoScaling.5] Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento de grupo de escalado automático no deben tener direcciones IP públicas
Requisitos relacionados: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9), PCI DSS v4.0.1/1.4.4
Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente
Gravedad: alta
Tipo de recurso: AWS::AutoScaling::LaunchConfiguration
AWS Config Regla de: autoscaling-launch-config-public-ip-disabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la configuración de lanzamiento asociada a un grupo de escalado automático asigna una dirección IP pública a las instancias del grupo. El control falla si la configuración de lanzamiento asociada asigna una dirección IP pública.
Las instancias de Amazon EC2 en una configuración de lanzamiento grupal de Auto Scaling no deben tener una dirección IP pública asociada, excepto en casos extremos limitados. Solo se debe acceder a las instancias de Amazon EC2 desde detrás de un equilibrador de carga, en lugar de estar expuestas directamente a Internet.
Corrección
Un grupo de escalado automático asocia con una configuración de lanzamiento cada vez. No se puede modificar una configuración de lanzamiento después de crearla. Para cambiar la configuración de lanzamiento de un grupo de escalado automático, utilice una configuración de lanzamiento existente como punto de partida para una nueva configuración de lanzamiento. A continuación, actualice el grupo de escalado automático para utilizar la nueva configuración de lanzamiento. Para obtener instrucciones paso a paso, consulte Cambiar la configuración de lanzamiento de un grupo de escalado automático en la Guía del usuario de Amazon EC2 Auto Scaling. Al crear la nueva configuración de lanzamiento, en Configuración adicional, en Detalles avanzados, tipo de dirección IP, seleccione No asignar una dirección IP pública a ninguna instancia.
Después de cambiar la configuración de lanzamiento, Auto Scaling lanza nuevas instancias con las nuevas opciones de configuración. Las instancias existentes no se ven afectadas. Para actualizar una instancia existente, le recomendamos que actualice su instancia o permita que el escalado automático reemplace gradualmente las instancias más antiguas por instancias más recientes en función de sus políticas de terminación. Para obtener más información acerca de cómo actualizar un grupo de Amazon EC2 Auto Scaling, consulte Grupos de escalado automático en la Guía del usuario de Amazon EC2 Auto Scaling.
[AutoScaling.6] Los grupos de escalado automático deben usar varios tipos de instancias en varias zonas de disponibilidad
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::AutoScaling::AutoScalingGroup
AWS Config Regla de: autoscaling-multiple-instance-types
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de Amazon EC2 Auto Scaling utiliza varios tipos de instancias. El control falla si el grupo de escalado automático solo tiene un tipo de instancia definido.
Puede mejorar la disponibilidad si implementa la aplicación en varios tipos de instancia que se ejecutan en varias zonas de disponibilidad. Security Hub recomienda utilizar varios tipos de instancias para que el grupo de escalado automático pueda lanzar otro tipo de instancia si no hay suficiente capacidad en las zonas de disponibilidad elegidas.
Corrección
Para crear un grupo de escalado automático con varios tipos de instancias, consulte Grupos de escalado automático con varios tipos de instancias y opciones de compra en la Guía del usuario de Amazon EC2 Auto Scaling.
[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deben utilizar plantillas de lanzamiento de Amazon EC2
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)
Categoría: Identificar > Configuración de recursos
Gravedad: media
Tipo de recurso: AWS::AutoScaling::AutoScalingGroup
AWS Config Regla de: autoscaling-launch-template
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si se crea un grupo de Amazon EC2 Auto Scaling a partir de una plantilla de lanzamiento de EC2. Este control falla si no se crea un grupo de Amazon EC2 Auto Scaling con una plantilla de lanzamiento o si no se especifica una plantilla de lanzamiento en una política de instancias mixtas.
Un grupo de escalado automático puede crearse a partir de una plantilla de lanzamiento de EC2 o una configuración de lanzamiento. Sin embargo, el uso de una plantilla de lanzamiento para crear un grupo de escalado automático garantiza que tenga acceso a las funciones y mejoras más recientes.
Corrección
Para crear un grupo de escalado automático con una plantilla de lanzamiento de EC2, consulte Creación de un grupo de escalado automático mediante una plantilla de lanzamiento en la Guía del usuario de Amazon EC2 Auto Scaling. Para obtener información sobre cómo reemplazar una configuración de lanzamiento por una plantilla de lanzamiento, consulte Reemplazar una configuración de lanzamiento por una plantilla de lanzamiento en la Guía del usuario de Amazon EC2.
[AutoScaling.10] Los grupos de escalado automático de EC2 deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::AutoScaling::AutoScalingGroup
Regla de AWS Config: tagged-autoscaling-autoscalinggroup (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList: (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. | Sin valor predeterminado |
Este control comprueba si un grupo de Amazon EC2 Auto Scaling tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control falla si el grupo de escalado automático no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si el grupo de escalado automático no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a un grupo de escalado automático, consulte Etiquetar grupos de escalado automático e instancias en la Guía del usuario de Amazon EC2 Auto Scaling.
