Controles de Security Hub para Amazon ECR
Estos controles de Security Hub evalúan el servicio y los recursos de Amazon Elastic Container Registry (Amazon ECR).
Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
Requisitos relacionados: NIST.800-53.r5 RA-5, PCI DSS v4.0.1/6.2.3, PCI DSS v4.0.1/6.2.4
Categoría: Identificar > Administración de vulnerabilidades, parches y versiones
Gravedad: alta
Tipo de recurso: AWS::ECR::Repository
AWS Config Regla de: ecr-private-image-scanning-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si un repositorio privado de Amazon ECR tiene configurado el escaneo de imágenes. El control falla si el repositorio de ECR privado no está configurado para el escaneo instantáneo o continuo.
El escaneo de imágenes de ECR ayuda a identificar vulnerabilidades de software en las imágenes de contenedor. La configuración del escaneo de imágenes en los repositorios de ECR añade un nivel de verificación de la integridad y la seguridad de las imágenes que se almacenan.
Corrección
Para configurar el escaneo de imágenes para un repositorio de ECR, consulte el Escaneo de imágenes en la Guía del usuario de Amazon Elastic Container Registry.
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-8(1)
Categoría: Identificar > Inventario > Etiquetado
Gravedad: media
Tipo de recurso: AWS::ECR::Repository
AWS Config Regla de: ecr-private-tag-immutability-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un repositorio de ECR privado tiene habilitada la inmutabilidad de etiquetas. Este control falla si un repositorio de ECR privado tiene deshabilitada la inmutabilidad de etiquetas. Esta regla se aplica si la inmutabilidad de la etiqueta está habilitada y tiene el valor IMMUTABLE.
La inmutabilidad de las etiquetas ECR de Amazon permite a los clientes confiar en las etiquetas descriptivas de una imagen como un mecanismo fiable para rastrear e identificar las imágenes de forma única. Una etiqueta inmutable es estática, lo que significa que cada etiqueta hace referencia a una imagen única. Esto mejora la fiabilidad y la escalabilidad, ya que el uso de una etiqueta estática siempre tendrá como resultado la implementación de la misma imagen. Cuando se configura, la inmutabilidad de las etiquetas evita que se anulen, lo que reduce la superficie expuesta a ataques.
Corrección
Para crear un repositorio con etiquetas inmutables configuradas o para actualizar la configuración de mutabilidad de las etiquetas de imagen de un repositorio existente, consulte la Mutabilidad de las etiquetas de imagen en la Guía del usuario de Amazon Elastic Container registry.
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)
Categoría: Identificar > Configuración de recursos
Gravedad: media
Tipo de recurso: AWS::ECR::Repository
AWS Config Regla de: ecr-private-lifecycle-policy-configured
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un repositorio de Amazon ECR tiene configurada al menos una política de ciclo de vida. Este control falla si un repositorio de ECR no tiene ninguna política de ciclo de vida configurada.
Las políticas de ciclo de vida de Amazon ECR permiten especificar la administración de ciclo de vida de las imágenes de un repositorio. Al configurar las políticas del ciclo de vida, puede automatizar la limpieza de las imágenes sin utilizar y la caducidad de las imágenes en función de su antigüedad o recuento. La automatización de estas tareas puede ayudarte a evitar el uso involuntario de imágenes desactualizadas en tu repositorio.
Corrección
Para configurar una política de ciclo de vida, consulte la Vista previa sobre cómo crear una política de ciclo de vida en la Guía del usuario de Amazon Elastic Container Registry.
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::ECR::PublicRepository
Regla de AWS Config: tagged-ecr-publicrepository (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList: (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. | Sin valor predeterminado |
Este control comprueba si un repositorio público de Amazon ECR tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control falla si el repositorio público no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si el repositorio público no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a un repositorio público de ECR, consulte Tagging an Amazon ECR public repository en la Guía del usuario de Amazon Elastic Container Registry.
[ECR.5] Los repositorios de ECR se deben cifrar con una clave de AWS KMS keys administrada por el cliente
Requisitos relacionados: NIST.800-53.r5 SC-12(2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 SI-7(6), NIST.800-53.r5 AU-9
Categoría: Proteger > Protección de datos > Cifrado de datos en reposo
Gravedad: media
Tipo de recurso: AWS::ECR::Repository
AWS Config Regla de: ecr-repository-cmk-encryption-enabled
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Una lista de nombres de recursos de Amazon (ARN) de AWS KMS keys para incluir en la evaluación. El control genera un resultado |
StringList: (máximo de 10 elementos) |
Entre 1 y 10 ARN de claves de KMS existentes. Por ejemplo: .: |
Sin valor predeterminado |
Este control verifica si un repositorio de Amazon ECR está cifrado en reposo con una clave de AWS KMS key administrada por el cliente. El control falla si el repositorio de ECR no está cifrado con una clave de KMS administrada por el cliente. Puede especificar opcionalmente una lista de claves de KMS para que el control las incluya en la evaluación.
De manera predeterminada, Amazon ECR cifra los datos del repositorio con claves administradas por Amazon S3 (SSE-S3), con un algoritmo AES-256. Para ejercer un control adicional, puede configurar Amazon ECR para cifrar los datos con una AWS KMS key (SSE-KMS o DSSE-KMS) en su lugar. La clave de KMS puede ser: una Clave administrada de AWS que Amazon ECR crea y administra en su nombre, y tiene el alias aws/ecr, o una clave administrada por el cliente que crea y administra en la Cuenta de AWS. Con una clave de KMS administrada por el cliente, ejerce control pleno sobre la clave. Esto incluye definir y mantener la política de claves, administrar concesiones, rotar el material criptográfico, asignar etiquetas, crear alias y habilitar y desactivar la clave.
nota
AWS KMS admite el acceso entre cuentas a las claves de KMS. Si un repositorio de ECR está cifrado con una clave de KMS que pertenece a otra cuenta, este control no realiza comprobaciones entre cuentas cuando evalúa el repositorio. El control no evalúa si Amazon ECR puede acceder y usar la clave al realizar operaciones criptográficas para el repositorio.
Corrección
No puede cambiar la configuración de cifrado de un repositorio de ECR existente. Sin embargo, puede especificar configuraciones de cifrado diferentes para los repositorios de ECR que cree posteriormente. Amazon ECR admite el uso de configuraciones de cifrado diferentes para repositorios individuales.
Para obtener más información sobre las opciones de cifrado para repositorios de ECR, consulte Cifrado en reposo en la Guía del usuario de Amazon ECR. Para obtener más información sobre claves de AWS KMS keys administradas por el cliente, consulte AWS KMS keys en la Guía para desarrolladores de AWS Key Management Service.
