Controles de Security Hub para Amazon CloudFront
Estos controles de AWS Security Hub CSPM evalúan el servicio y los recursos de Amazon CloudFront. Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[CloudFront.1] Las distribuciones de CloudFront deben tener configurado un objeto raíz predeterminado
Requisitos relacionados: NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), PCI DSS v4.0.1/2.2.6
Categoría: Proteger > Gestión del acceso seguro > Recursos que no son de acceso público
Gravedad: alta
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regla de: cloudfront-default-root-object-configured
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una distribución de Amazon CloudFront con orígenes de S3 está configurada para devolver un objeto específico que sea el objeto raíz predeterminado. El control falla si la distribución de CloudFront usa orígenes de S3 y no tiene configurado un objeto raíz predeterminado. Este control no se aplica a distribuciones de CloudFront que usan orígenes personalizados.
A veces, un usuario puede solicitar la URL raíz de la distribución en lugar de un objeto de la distribución. Cuando esto ocurre, especificar un objeto raíz predeterminado puede ayudarle a evitar la exposición del contenido de su distribución web.
Corrección
Para configurar un objeto raíz predeterminado para una distribución de CloudFront, consulte Cómo especificar un objeto raíz predeterminado en la Guía para desarrolladores de Amazon CloudFront.
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6), PCI DSS v4.0.1/4.2.1
Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regla de: cloudfront-viewer-policy-https
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una distribución de Amazon CloudFront requiere que los espectadores utilicen HTTPS directamente o si utiliza la redirección. El control falla si ViewerProtocolPolicy está configurado como allow-all para defaultCacheBehavior o para cacheBehaviors.
Se puede utilizar HTTPS (TLS) para ayudar a evitar posibles ataques de «persona en medio» o similares para espiar o manipular el tráfico de red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta característica para comprender el perfil de rendimiento y el impacto del TLS.
Corrección
Para cifrar una distribución de CloudFront en tránsito, consulte Exigir HTTPS para la comunicación entre los espectadores y CloudFront en la Guía para desarrolladores de Amazon CloudFront.
[CloudFront.4] Las distribuciones de CloudFront deben tener configurada la conmutación por error de origen
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: baja
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regla de: cloudfront-origin-failover-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una distribución de Amazon CloudFront está configurada con un grupo de origen que tiene dos o más orígenes.
La conmutación por error de origen de CloudFront puede aumentar la disponibilidad. La conmutación por error de Origin redirige automáticamente el tráfico a un origen secundario si el origen principal no está disponible o si devuelve códigos de estado de respuesta HTTP específicos.
Corrección
Para configurar la conmutación por error de origen para una distribución de CloudFront, consulte Creación de un grupo de origen en la Guía para desarrolladores de Amazon CloudFront.
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), PCI DSS v4.0.1/10.4.2
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regla de: cloudfront-accesslogs-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el registro de acceso al servidor está habilitado en las distribuciones de CloudFront. El control falla si el registro de acceso no está habilitado para una distribución. Este control solo evalúa si el registro estándar (heredado) está habilitado para una distribución.
Los registros de acceso de CloudFront proporcionan información detallada sobre cada solicitud de usuario que CloudFront recibe. Cada registro contiene información como la fecha y la hora en que se recibió la solicitud, la dirección IP del espectador que realizó la solicitud, el origen de la solicitud y el número de puerto de la solicitud del espectador. Estos registros son útiles para aplicaciones como auditorías de seguridad y acceso y para investigaciones forenses. Para obtener más información sobre cómo analizar registros de acceso, consulte Consulta de los registros de Amazon CloudFront en la Guía del usuario de Amazon Athena.
Corrección
Para configurar el registro estándar (heredado) para una distribución de CloudFront, consulte Configuración del registro estándar (heredado) en la Guía del desarrollador de Amazon CloudFront.
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
Requisitos relacionados: NIST.800-53.r5 AC-4(21), PCI DSS v4.0.1/6.4.2
Categoría: Proteger > Servicios de protección
Gravedad: media
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regla de: cloudfront-associated-with-waf
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las distribuciones de CloudFront están asociadas a las ACL clásicas de AWS WAF o web de AWS WAF. El control falla si la distribución no está asociada a una ACL web.
AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y las API de ataques. Le permite configurar una web ACL, que son un conjunto de reglas que permiten, bloquean o cuentan solicitudes web en función de las reglas y condiciones de seguridad web personalizables que defina. Asegúrese de que su distribución de CloudFront esté asociada a una ACL web de AWS WAF para protegerla de ataques malintencionados.
Corrección
Para asociar una ACL web de AWS WAF a una distribución de CloudFront, consulte Usar AWS WAF para controlar el acceso a su contenido en la Guía para desarrolladores de Amazon CloudFront.
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6), NIST.800-171.r2 3.13.15
Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regla de: cloudfront-custom-ssl-certificate
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las distribuciones de CloudFront utilizan el certificado SSL/TLS predeterminado que proporciona CloudFront. Este control se habilita si la distribución de CloudFront utiliza un certificado SSL/TLS personalizado. Este control falla si la distribución de CloudFront usa el certificado SSL/TLS predeterminado.
Los SSL/TLS personalizados permiten a los usuarios acceder al contenido mediante nombres de dominio alternativos. Puede almacenar los certificados personalizados en AWS Certificate Manager (recomendado) o en IAM.
Corrección
Para añadir un nombre de dominio alternativo a una distribución de CloudFront mediante un certificado SSL/TLS personalizado, consulte Añadir un nombre de dominio alternativo en la Guía para desarrolladores de Amazon CloudFront.
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
Categoría: Proteger - Configuración de red segura
Gravedad: baja
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regla de: cloudfront-sni-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las distribuciones de Amazon CloudFront utilizan un certificado SSL/TLS personalizado y si están configuradas para utilizar el SNI para atender las solicitudes HTTPS. Este control falla si hay asociado un certificado SSL/TLS personalizado, pero el método de soporte de SSL/TLS es una dirección IP dedicada.
La indicación de nombre de servidor (SNI) es una extensión del protocolo TLS que admiten los navegadores y clientes disponibles desde 2010. Si configura CloudFront para atender solicitudes HTTPS mediante SNI, CloudFront asocia el nombre de dominio alternativo a una dirección IP para cada ubicación de borde. Cuando un espectador envía una solicitud HTTPS de contenido, el servicio DNS dirige la solicitud a la dirección IP de la ubicación de borde correcta. La dirección IP de su nombre de dominio se determina durante la negociación del protocolo SSL/TLS; la dirección IP no es exclusiva de su distribución.
Corrección
Para configurar una distribución de CloudFront para usar SNI para atender solicitudes HTTPS, consulte Uso de SNI para atender solicitudes HTTPS (funciona para la mayoría de los clientes) en la Guía para desarrolladores de CloudFront. Para obtener información sobre certificados SSL personalizados, consulte Requisitos para la utilización de certificados SSL/TLS con CloudFront.
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6), PCI DSS v4.0.1/4.2.1
Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regla de: cloudfront-traffic-to-origin-encrypted
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las distribuciones de Amazon CloudFront cifran el tráfico hacia orígenes personalizados. Este control falla en una distribución de CloudFront cuya política de protocolo de origen permite “solo http”. Este control también falla si la política de protocolo de origen de la distribución es “match-viewer”, mientras que la política de protocolo de visor es “permisible para todos”.
El protocolo HTTPS (TLS) se puede utilizar para evitar el espionaje o la manipulación del tráfico de la red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS).
Corrección
Para actualizar la política de protocolo de origen para exigir el cifrado de una conexión de CloudFront, consulte Exigir HTTPS para la comunicación entre CloudFront y su origen personalizado en la Guía para desarrolladores de Amazon CloudFront.
[CloudFront.10] Las distribuciones de CloudFront no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados
Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6), NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1
Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regla de: cloudfront-no-deprecated-ssl-protocols
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las distribuciones de Amazon CloudFront utilizan protocolos SSL obsoletos para la comunicación HTTPS entre las ubicaciones periféricas de CloudFront y sus orígenes personalizados. Este control falla si una distribución de CloudFront tiene un CustomOriginConfig en el que OriginSslProtocols incluye SSLv3.
En 2015, el Internet Engineering Task Force (IETF) anunció oficialmente que el SSL 3.0 debería quedar obsoleto debido a que el protocolo no era lo suficientemente seguro. Se recomienda utilizar TLSv1.2 o una versión posterior para la comunicación HTTPS con sus orígenes personalizados.
Corrección
Para actualizar los protocolos SSL de origen para una distribución de CloudFront, consulte Requerir HTTPS para la comunicación entre CloudFront y su origen personalizado en la Guía para desarrolladores de Amazon CloudFront.
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
Requisitos relacionados: NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), PCI DSS v4.0.1/2.2.6
Categoría: Identificar > Configuración de recursos
Gravedad: alta
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regla de: cloudfront-s3-origin-non-existent-bucket
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si las distribuciones de Amazon CloudFront apuntan a orígenes de Amazon S3 inexistentes. El control falla en una distribución de CloudFront si el origen está configurado para apuntar a un bucket inexistente. Este control solo se aplica a las distribuciones de CloudFront en las que el origen de S3 es un bucket de S3 sin alojamiento de sitios web estáticos.
Cuando una distribución de CloudFront de su cuenta está configurada para apuntar a un bucket que no existe, un tercero malintencionado puede crear el bucket al que se hace referencia y publicar su propio contenido a través de su distribución. Recomendamos comprobar todos los orígenes, independientemente del comportamiento de enrutamiento, para asegurarse de que sus distribuciones apuntan a los orígenes adecuados.
Corrección
Para modificar una distribución de CloudFront para que apunte a un nuevo origen, consulte Actualización de una distribución en la Guía para desarrolladores de Amazon CloudFront.
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
Categoría: Proteger > Gestión del acceso seguro > Recurso no accesible públicamente
Gravedad: media
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regla de: cloudfront-s3-origin-access-control-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una distribución de Amazon CloudFront con origen en Amazon S3 tiene configurado el Control de acceso de origen (OAC). El control falla si el OAC no está configurado para la distribución de CloudFront.
Si utiliza un bucket de S3 como origen para la distribución de CloudFront, puede habilitar OAC. Esto permite el acceso al contenido del bucket únicamente a través de la distribución de CloudFront especificada y prohíbe el acceso directo desde el bucket u otra distribución. Si bien CloudFront admite identidad de acceso de origen (OAI), OAC ofrece funciones adicionales y las distribuciones que utilizan OAI pueden migrar a OAC. Si bien la OAI proporciona una forma segura de acceder a los orígenes de S3, presenta limitaciones, como la falta de compatibilidad con configuraciones de políticas pormenorizadas y con solicitudes HTTP/HTTPS que utilizan el método POST en Regiones de AWS y que requieren AWS Signature Version 4 (SigV4). La OAI tampoco admite el cifrado con AWS Key Management Service. La OAC se basa en la práctica de AWS recomendada de utilizar las entidades principales del servicio de IAM para autenticarse con orígenes de S3.
Corrección
Para configurar OAC para una distribución de CloudFront con orígenes S3, consulte Restricción del acceso a un origen de Amazon S3 en la Guía para desarrolladores de Amazon CloudFront.
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::CloudFront::Distribution
Regla de AWS Config:tagged-cloudfront-distribution (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList: (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. | Sin valor predeterminado |
Este control comprueba si una distribución de Amazon CloudFront tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza un error si la distribución no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la distribución no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a una distribución de CloudFront, consulte Etiquetado de distribuciones de Amazon CloudFront en la Guía para desarrolladores de Amazon CloudFront.
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regla de: cloudfront-ssl-policy-check
Tipo de horario: provocado por un cambio
Parámetros: securityPolicies: TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025 (no personalizables)
Este control comprueba si una distribución de Amazon CloudFront está configurada para usar una política de seguridad TLS recomendada. El control falla si la distribución de CloudFront no está configurada para usar una política de seguridad TLS recomendada.
Si configura una distribución de Amazon CloudFront para exigir que los visitantes usen HTTPS para acceder al contenido, debe elegir una política de seguridad y especificar la versión mínima del protocolo SSL/TLS que se utilizará. Esto determina qué versión del protocolo usa CloudFront para comunicarse con los visitantes y qué cifrados usa CloudFront para cifrar las comunicaciones. Recomendamos usar la política de seguridad más reciente que proporciona CloudFront. Esto garantiza que CloudFront use los conjuntos de cifrado más recientes para cifrar los datos en tránsito entre un espectador y una distribución de CloudFront.
nota
Este control genera resultados únicamente para distribuciones de CloudFront que están configuradas para usar certificados SSL personalizados y que no están configuradas para admitir clientes heredados.
Corrección
Para obtener información sobre cómo configurar la política de seguridad para una distribución de CloudFront, consulte Actualización de una distribución en la Guía del desarrollador de Amazon CloudFront. Cuando configure la política de seguridad para una distribución, elija la política de seguridad más reciente.
[CloudFront.16] Las distribuciones de CloudFront deben usar control de acceso a orígenes para orígenes de URL de funciones de Lambda
Categoría: Proteger - Administración de acceso seguro > Control de acceso
Gravedad: media
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regla de: cloudfront-origin-lambda-url-oac-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una distribución de Amazon CloudFront con una URL de función de AWS Lambda como origen tiene habilitado el control de acceso a orígenes (OAC). El control falla si la distribución de CloudFront tiene una URL de función de Lambda como origen y no tiene OAC habilitado.
Una URL de función de AWS Lambda es un punto de conexión HTTPS dedicado para una función de Lambda. Si una URL de función de Lambda es el origen de una distribución de CloudFront, la URL de función debe ser accesible públicamente. Por lo tanto, como práctica recomendada de seguridad, debe crear un OAC y agregarlo a la URL de función de Lambda en una distribución. OAC usa entidades principales de servicio de IAM para autenticar solicitudes entre CloudFront y la URL de función. También admite el uso de políticas basadas en recursos para permitir la invocación de una función solo si una solicitud se realiza en nombre de una distribución de CloudFront especificada en la política.
Corrección
Para obtener información sobre cómo configurar el control de acceso al origen (OAC) para una distribución de Amazon CloudFront que usa una URL de función de Lambda como origen, consulte Restricción del acceso a una URL de función de AWS Lambda como origen en la Guía del desarrollador de Amazon CloudFront.
