Controles de Security Hub para equilibradores de carga elásticos

Estos controles de AWS Security Hub CSPM evalúan el servicio y los recursos del equilibrador de carga elástico. Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

Requisitos relacionados: PCI DSS v3.2.1/2.3,PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)

Categoría: Detectar - Servicios de detección

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config Regla de: alb-http-to-https-redirection-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si el redireccionamiento de HTTP a HTTPS está configurado en todos los oyentes HTTP de los equilibradores de carga de aplicación. El control falla si alguno de los detectores HTTP de los equilibradores de carga de aplicaciones no tiene configurada la redirección de HTTP a HTTPS.

Antes de comenzar a utilizar el equilibrador de carga de aplicación, debe agregar al menos uno o más oyentes. Un agente de escucha es un proceso que utiliza el protocolo y el puerto configurados para comprobar las solicitudes de conexión. Los oyentes admiten los protocolos HTTP y HTTPS. Puede utilizar un oyente HTTPS para descargar el trabajo de cifrado y descifrado a su equilibrador de carga. Para forzar el cifrado en tránsito, debe usar acciones de redireccionamiento con los equilibradores de carga de aplicación para redirigir las solicitudes HTTP del cliente hacia una solicitud HTTPS en el puerto 443.

Para obtener más información, consulte Creación de un agente de escucha para el Equilibrador de carga de aplicación en la Guía del usuario de Equilibrador de carga de aplicacións.

Corrección

Para redirigir las solicitudes HTTP a HTTPS, debe agregar una regla de escucha de Equilibrador de carga de aplicación o editar una regla existente.

Para obtener instrucciones sobre cómo agregar una nueva regla, consulte Agregar una regla en la Guía del usuario de los equilibradores de carga de aplicaciones. En Protocolo : Puerto, elija HTTP y luego ingrese 80. En Añadir acción, Redirigir a, elija HTTPS y, a continuación, introduzca 443.

Para obtener instrucciones sobre cómo editar una regla existente, consulte Editar una regla en la Guía del usuario de los equilibradores de carga de aplicaciones. En Protocolo : Puerto, elija HTTP y luego ingrese 80. En Añadir acción, Redirigir a, elija HTTPS y, a continuación, introduzca 443.

[ELB.2] Los equilibradores de carga clásicos con receptores SSL/HTTPS deben usar un certificado proporcionado por AWS Certificate Manager

Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(5), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6), NIST.800-171.r2 3.13.8

Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config Regla de: elb-acm-certificate-required

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Comprueba si los Equilibrador de carga clásicos utilizan los certificados SSL proporcionados por AWS Certificate Manager. El control falla si el Equilibrador de carga clásico configurado con el agente de escucha HTTPS/SSL no utiliza un certificado proporcionado por ACM.

Para crear un certificado, puede utilizar ACM o una herramienta que admita los protocolos SSL y TLS, como OpenSSL. Security Hub recomienda que utilice ACM para crear o importar certificados para su equilibrador de carga.

ACM se integra con Equilibrador de carga clásico, lo que le permite implementar el certificado en el equilibrador de carga. También debe renovar estos certificados automáticamente.

Corrección

Para obtener información sobre cómo asociar un certificado SSL/TLS de ACM a un Equilibrador de carga clásico, consulte el artículo del AWS Knowledge Center ¿Cómo puedo asociar un certificado SSL/TLS de ACM a un Classic, Application o Equilibrador de carga de red?

[ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS

Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6), NIST.800-171.r2 3.13.8, NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config Regla de: elb-tls-https-listeners-only

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los agentes de escucha de Equilibrador de carga clásico están configurados con el protocolo HTTPS o TLS para las conexiones frontend (entre el cliente y el equilibrador de carga). El control se aplica si un Equilibrador de carga clásico tiene oyentes. Si su Equilibrador de carga clásico no tiene un listener configurado, el control no informa de ningún resultado.

El control pasa si los oyentes de Equilibrador de carga clásico están configurados con TLS o HTTPS para las conexiones front-end.

El control falla si el listener no está configurado con TLS o HTTPS para las conexiones front-end.

Antes de comenzar a utilizar un equilibrador de carga, debe agregar uno o más oyentes. Un agente de escucha es un proceso que utiliza el protocolo y el puerto configurados para comprobar las solicitudes de conexión. Los oyentes pueden admitir los protocolos HTTP y HTTPS/TLS. Siempre debe usar un agente de escucha HTTPS o TLS para que el equilibrador de cargas se encargue de cifrar y desencriptar en tránsito.

Corrección

Para solucionar este problema, actualiza tus oyentes para que usen el protocolo TLS o HTTPS.

[ELB.4] El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos

Requisitos relacionados: NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8(2), PCI DSS v4.0.1/6.2.4

Categoría: Proteger > Seguridad de red

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config Regla de: alb-http-drop-invalid-header-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control evalúa si un equilibrador de carga de aplicación está configurado para eliminar los encabezados HTTP no válidos. El control falla si el valor routing.http.drop_invalid_header_fields.enabled se establece como false.

De forma predeterminada, los equilibradores de carga de aplicaciones no están configurados para eliminar valores de encabezado HTTP no válidos. La eliminación de estos valores de encabezado evita los ataques de desincronización de HTTP.

Corrección

Para solucionar este problema, configura tu equilibrador de cargas para eliminar los campos de encabezado no válidos.

[ELB.5] El registro de las aplicaciones y de los equilibradores de carga clásicos debe estar habilitado

Requisitos relacionados: NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-7(8)

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer, AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config Regla de: elb-logging-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si el Equilibrador de carga de aplicación y el Equilibrador de carga clásico tienen el registro activado. El control tiene errores si access_logs.s3.enabled es false.

Elastic Load Balancing proporciona registros de acceso que capturan información detallada sobre las solicitudes enviadas al equilibrador de carga. Cada registro contiene distintos datos, como el momento en que se recibió la solicitud, la dirección IP del cliente, las latencias, las rutas de solicitud y las respuestas del servidor. Puede utilizar estos registros de acceso para analizar los patrones de tráfico y solucionar problemas.

Para obtener más información, consulte Etiquetado del Equilibrador de carga clásico en la Guía del usuario de Equilibrador de carga clásicos.

Corrección

Para habilitar los registros de acceso, consulte el Paso 3: Configurar los registros de acceso en la Guía del usuario de los equilibradores de carga de aplicaciones.

[ELB.6] La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config Regla de: elb-deletion-protection-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si el equilibrador de carga de red, de puerta de enlace o de aplicación tiene habilitada la protección contra eliminación. El control falla si la protección contra la eliminación está deshabilitada.

Habilite la protección contra eliminación para evitar que el equilibrador de carga de red, de puerta de enlace o de aplicación se elimine.

Corrección

Para evitar que el equilibrador de carga se elimine por error, puede habilitar la protección contra eliminación. De forma predeterminada, la protección contra eliminación del equilibrador de carga está deshabilitada.

Si habilita la protección contra eliminación del equilibrador de carga, deberá deshabilitarla para poder eliminarlo.

Para habilitar la protección contra la eliminación de un equilibrador de carga de aplicación, consulte la sección Protección contra la eliminación en la Guía del usuario de los equilibradores de carga de aplicaciones. Para habilitar la protección contra la eliminación de un equilibrador de carga de puerta de enlace, consulte la sección Protección contra la eliminación en la Guía del usuario de los equilibradores de carga de puerta de enlace. Para habilitar la protección contra la eliminación de un equilibrador de carga de red, consulte la sección Protección contra la eliminación en la Guía del usuario de los equilibradores de carga de red.

[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

Categoría: Recuperación > Resiliencia

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

Regla de AWS Config: elb-connection-draining-enabled (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los equilibradores de carga clásicos tienen habilitado el drenaje de conexión.

Al habilitar el drenaje de conexiones en los Equilibradores de carga clásicos se garantiza que el equilibrador de carga deje de enviar solicitudes a instancias que están en proceso de anulación del registro o se encuentran en mal estado. Mantiene abiertas las conexiones existentes. Esto es particularmente útil para instancias en grupos de escalado automático, para garantizar que las conexiones no se interrumpan abruptamente.

Corrección

Para habilitar el drenaje de conexión en Equilibrador de carga clásico, consulte Configuración del drenaje de conexión para el Equilibrador de carga clásico en la Guía del usuario de Equilibrador de carga clásico.

[ELB.8] Los equilibradores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una duración sólida de AWS Config

Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6), NIST.800-171.r2 3.13.8, NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config Regla de: elb-predefined-security-policy-ssl-check

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si los oyentes HTTPS/SSL de Equilibrador de carga clásico utilizan la política predefinida de ELBSecurityPolicy-TLS-1-2-2017-01. El control falla si los oyentes HTTPS/SSL de Equilibrador de carga clásico no utilizan ELBSecurityPolicy-TLS-1-2-2017-01.

Una política de seguridad es una combinación de protocolos SSL, cifrados y la opción de preferencia del orden del servidor. Las políticas predefinidas controlan los cifrados, los protocolos y los órdenes de preferencia que se deben admitir durante las negociaciones SSL entre un cliente y un equilibrador de carga.

Usar ELBSecurityPolicy-TLS-1-2-2017-01 puede ayudarlo a cumplir con los estándares de cumplimiento y seguridad que requieren que deshabilite versiones específicas de SSL y TLS. Para obtener más información, consulte Agentes de escucha para el Equilibrador de carga clásico en la Guía del usuario de Equilibrador de carga clásicos.

Corrección

Para obtener información sobre cómo utilizar la política de seguridad predefinida de ELBSecurityPolicy-TLS-1-2-2017-01 con un Equilibrador de carga clásico, consulte Configurar los ajustes de seguridad en la Guía del usuario de Equilibrador de carga clásicos.

[ELB.9] Los equilibradores de carga clásicos deberían tener habilitado el equilibrio de carga entre zonas

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config Regla de: elb-cross-zone-load-balancing-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si el equilibrio de carga entre zonas está habilitado para los equilibradores de carga clásicos (CLB). El control falla si el equilibrio de carga entre zonas no está habilitado para un CLB.

Cada nodo del equilibrador de carga distribuye el tráfico entre los destinos registrados en su zona de disponibilidad solamente. Cuando el equilibrio de carga entre zonas está deshabilitado, cada nodo del equilibrador de carga distribuye el tráfico únicamente entre los destinos registrados de su zona de disponibilidad. Si el número de destinos registrados no es el mismo en todas las zonas de disponibilidad, el tráfico no se distribuirá de manera uniforme y las instancias de una zona podrían terminar sobreutilizadas en comparación con las instancias de otra zona. Con cross-zone load balancing, cada nodo del equilibrador de carga de su equilibrador de carga clásico distribuye las solicitudes equitativamente entre todas las instancias registradas en todas las zonas de disponibilidad habilitadas. Para obtener más información, consulte Equilibrio de carga entre zonas en la Guía del usuario de Elastic Load Balancing.

Corrección

Para habilitar el balanceo de cargas entre zonas en un Equilibrador de carga clásico, consulta Habilitar el balanceo de cargas entre zonas en la Guía del usuario de Equilibrador de carga clásicos.

[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config Regla de: clb-multiple-az

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si se configuró un Equilibrador de carga clásico para abarcar al menos la cantidad especificada de zonas de disponibilidad (AZ). Se produce un error en el control si el equilibrador de carga clásico no abarca al menos la cantidad especificada de AZ. A menos que se proporcione un valor personalizado de parámetro para la cantidad mínima de AZ, Security Hub utiliza un valor predeterminado de dos AZ.

Puede configurar el equilibrador de carga clásico para que las solicitudes de entrada se distribuyan entre las instancias de Amazon EC2 de una única zona de disponibilidad o de varias. Un Equilibrador de carga clásico que no abarque varias zonas de disponibilidad no puede redirigir el tráfico a destinos de otra zona de disponibilidad si la única zona de disponibilidad configurada deja de estar disponible.

Corrección

Para agregar zonas de disponibilidad a un equilibrador de carga clásico, consulte Add or remove subnets for your Classic Load Balancer en la Guía del usuario para los Equilibradores de carga clásicos.

[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

Requisitos relacionados: NIST.800-53.r5 AC-4(21), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/6.2.4

Categoría: Protección > Protección de datos > Integridad de los datos

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config Regla de: alb-desync-mode-check

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si un Equilibrador de carga de aplicación está configurado con el modo defensivo o con el modo de mitigación de desincronización más estricto. El control falla si un Equilibrador de carga de aplicación no está configurado con el modo defensivo o de mitigación de desincronización más estricto.

Los problemas de desincronización de HTTP pueden provocar el contrabando de solicitudes y hacer que las aplicaciones sean vulnerables al envenenamiento de las colas de solicitudes o de la caché. A su vez, estas vulnerabilidades pueden provocar el uso indebido de credenciales o la ejecución de comandos no autorizados. Los equilibradores de carga de aplicaciones configurados con el modo defensivo o el modo de mitigación de desincronización más estricto protegen tu aplicación de los problemas de seguridad que pueda provocar la desincronización de HTTP.

Corrección

Para actualizar el modo de mitigación de desincronización de un Equilibrador de carga de aplicación, consulte el modo de mitigación de desincronización en la Guía del usuario de Equilibrador de carga de aplicaciones.

[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config Regla de: elbv2-multiple-az

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si un Elastic Load Balancer V2 (equilibrador de carga de aplicaciones, redes o puertas de enlace) registró instancias de al menos la cantidad especificada de zonas de disponibilidad (AZ). Se produce un error en el control si un Elastic Load Balancer V2 no tiene instancias registradas en al menos la cantidad especificada de AZ. A menos que se proporcione un valor personalizado de parámetro para la cantidad mínima de AZ, Security Hub utiliza un valor predeterminado de dos AZ.

Elastic Load Balancing distribuye automáticamente el tráfico entrante entre varios destinos, por ejemplo, instancias EC2, contenedores y direcciones IP en una o varias zonas de disponibilidad. Elastic Load Balancing escala el equilibrador de carga a medida que el tráfico entrante va cambiando con el tiempo. Se recomienda configurar al menos dos zonas de disponibilidad para garantizar la disponibilidad de los servicios, ya que el Elastic Load Balancer podrá dirigir el tráfico a otra zona de disponibilidad si alguna deja de estar disponible. Tener configuradas varias zonas de disponibilidad ayudará a evitar que la aplicación tenga un único punto de error.

Corrección

Para agregar una zona de disponibilidad a un Equilibrador de carga de aplicación, consulte Zonas de disponibilidad para el equilibrador de carga de aplicaciones en la Guía del usuario para equilibradores de carga de aplicaciones. Para crear un equilibrador de carga de red, consulte Introducción a los equilibradores de carga de red en la Guía del usuario de los equilibradores de carga de red. Para añadir una zona de disponibilidad a un equilibrador de carga de puerta de enlace, consulte Crear un equilibrador de carga de puerta de enlace en la Guía del usuario de equilibradores de carga de puerta de enlace.

[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

Requisitos relacionados: NIST.800-53.r5 AC-4(21), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/6.2.4

Categoría: Protección > Protección de datos > Integridad de los datos

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config Regla de: clb-desync-mode-check

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si un Equilibrador de carga clásico está configurado con el modo defensivo o con el modo de mitigación de desincronización más estricto. El control falla si el Equilibrador de carga clásico no está configurado con el modo defensivo o de mitigación de desincronización más estricto.

Los problemas de desincronización de HTTP pueden provocar el contrabando de solicitudes y hacer que las aplicaciones sean vulnerables al envenenamiento de las colas de solicitudes o de la caché. A su vez, estas vulnerabilidades pueden provocar el secuestro de credenciales o la ejecución de comandos no autorizados. Los equilibradores de carga clásicos configurados con el modo defensivo o el modo de mitigación de desincronización más estricto protegen tu aplicación de los problemas de seguridad que pueda provocar la desincronización de HTTP.

Corrección

Para actualizar el modo de mitigación de desincronización en un Equilibrador de carga clásico, consulte Modificar el modo de mitigación de desincronización en la Guía del usuario de Equilibrador de carga clásico.

[ELB.16] Los equilibradores de carga de aplicaciones deben estar asociados a una ACL web de AWS WAF

Requisitos relacionados: NIST.800-53.r5 AC-4(21)

Categoría: Proteger > Servicios de protección

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config Regla de: alb-waf-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un Equilibrador de carga de aplicación está asociado a una lista de control de acceso web (ACL web) clásico AWS WAF o AWS WAF. El control falla si el campo Enabled de la configuración AWS WAF se ha establecido como false.

AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y las API de ataques. Con AWS WAF puede configurar una web ACL, que son un conjunto de reglas que permiten, bloquean o cuentan solicitudes web en función de las reglas y condiciones de seguridad web personalizables que defina. Recomendamos asociar el Equilibrador de carga de aplicación a una ACL web de AWS WAF para protegerlo de ataques malintencionados.

Corrección

Para asociar un Equilibrador de carga de aplicación a una ACL web, consulte Asociar o desasociar una ACL web con recurso de AWS en la Guía para desarrolladores de AWS WAF.

[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas

Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)

Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancingV2::Listener

AWS Config Regla de: elbv2-predefined-security-policy-ssl-check

Tipo de horario: provocado por un cambio

Parámetros: sslPolicies: ELBSecurityPolicy-TLS13-1-2-2021-06, ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-3-2021-06, ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-2-Res-2021-06, ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 (no personalizables)

Este control comprueba si el oyente HTTPS de un equilibrador de carga de aplicación o el oyente TLS de un equilibrador de carga de red están configurados para cifrar los datos en tránsito mediante una política de seguridad recomendada. El control falla si el oyente HTTPS o TLS del equilibrador de carga no está configurado para usar una política de seguridad recomendada.

Elastic Load Balancing usa una configuración de negociación SSL, conocida como una política de seguridad, para negociar las conexiones entre un cliente y un equilibrador de carga. La política de seguridad especifica una combinación de protocolos y cifrados. El protocolo establece una conexión segura entre un cliente y un servidor. Un cifrado es un algoritmo de cifrado que usa claves de cifrado para crear un mensaje codificado. Durante el proceso de negociación de conexiones, el cliente y el equilibrador de carga presentan una lista con los cifrados y protocolos que admite cada uno por orden de preferencia. El uso de una política de seguridad recomendada para un equilibrador de carga contribuye a cumplir los estándares de cumplimiento y seguridad.

Corrección

Para obtener información sobre las políticas de seguridad recomendadas y cómo actualizar los oyentes, consulte las siguientes secciones de la Guía del usuario de Elastic Load Balancing: Políticas de seguridad para equilibradores de carga de aplicación, Políticas de seguridad para equilibradores de carga de red, Actualización de un oyente HTTPS para un equilibrador de carga de aplicación y Actualización de un oyente para un equilibrador de carga de red.

[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito

Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito

Gravedad: media

Tipo de recurso: AWS::ElasticLoadBalancingV2::Listener

AWS Config Regla de: elbv2-listener-encryption-in-transit

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control verifica si el oyente de un equilibrador de carga de aplicación o de un equilibrador de carga de red está configurado para usar un protocolo seguro para cifrar los datos en tránsito. El control falla si el oyente de un equilibrador de carga de aplicación no usa el protocolo HTTPS o si el oyente de un equilibrador de carga de red no usa el protocolo TLS.

Para cifrar los datos transmitidos entre un cliente y un equilibrador de carga, los oyentes de Elastic Load Balancing se deben configurar con protocolos de seguridad estándar del sector: HTTPS para equilibradores de carga de aplicación o TLS para equilibradores de carga de red. De lo contrario, los datos transmitidos entre un cliente y un equilibrador de carga quedan expuestos a interceptación, manipulación y acceso no autorizado. El uso de HTTPS o TLS por parte de un oyente se ajusta a las prácticas recomendadas de seguridad y ayuda a garantizar la confidencialidad e integridad de los datos durante la transmisión. Esto es especialmente importante para aplicaciones que manejan información confidencial o que deben cumplir con estándares de seguridad que requieren cifrado de los datos en tránsito.

Corrección

Para obtener información sobre cómo configurar protocolos de seguridad para los oyentes, consulte las siguientes secciones de la Guía del usuario de Elastic Load Balancing: Creación de un oyente HTTPS para el equilibrador de carga de aplicación y Creación de un oyente para el equilibrador de carga de red.