Controles de Security Hub para EventBridge

Estos controles de AWS Security Hub CSPM evalúan el servicio y los recursos de Amazon EventBridge.

Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[EventBridge.2] Los buses de eventos de EventBridge deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::Events::EventBus

Regla de AWS Config:tagged-events-eventbus (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si un bus de eventos de Amazon EventBridge tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control falla si el bus de eventos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si el bus de eventos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.

Corrección

Para agregar etiquetas a un bus de eventos de EventBridge, consulte las etiquetas de Amazon EventBridge en la Guía del usuario de Amazon EventBridge.

[EventBridge.3] Los buses de eventos personalizados de EventBridge deben tener adjunta una política basada en recursos

Requisitos relacionados: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6(3), PCI DSS v4.0.1/10.3.1

Categoría: Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

Gravedad: baja

Tipo de recurso: AWS::Events::EventBus

AWS Config Regla de: custom-eventbus-policy-attached

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un bus de eventos personalizado de Amazon EventBridge tiene asociada una política basada en recursos. Este control falla si el bus de eventos personalizado no tiene una política basada en recursos.

De forma predeterminada, un bus de eventos personalizado de EventBridge no tiene adjunta una política basada en recursos. Esto permite a los directores de la cuenta acceder al bus de eventos. Al adjuntar una política basada en recursos al bus de eventos, puede limitar el acceso al bus de eventos a cuentas específicas, así como conceder acceso intencionadamente a entidades de otra cuenta.

Corrección

Para adjuntar una política basada en recursos a un bus de eventos personalizado de EventBridge, consulte Uso de políticas basadas en recursos para Amazon EventBridge en la Guía del usuario de Amazon EventBridge.

[EventBridge.4] Los puntos finales globales de EventBridge deberían tener habilitada la replicación de eventos

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::Events::Endpoint

AWS Config Regla de: global-endpoint-event-replication-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si la replicación de eventos está habilitada para un punto de conexión global de Amazon EventBridge. El control falla si la replicación de eventos no está habilitada para un punto de conexión global.

Los puntos finales globales ayudan a que su aplicación sea tolerante a los errores Regionales. Para empezar, debe asignar una comprobación de estado de Amazon Route 53 al punto de conexión. Cuando se inicia la conmutación por error, la comprobación de estado indica un estado “en mal estado”. A los pocos minutos del inicio de la conmutación por error, todos los eventos personalizados se enrutan a un bus de eventos en la región secundaria y son procesados por ese bus de eventos. Al utilizar puntos finales globales, puede habilitar la replicación de eventos. La replicación de eventos envía todos los eventos personalizados a los buses de eventos de las regiones principal y secundaria mediante reglas administradas. Recomendamos habilitar la replicación de eventos al configurar los puntos finales globales. La replicación de eventos le ayuda a comprobar que los puntos finales globales están configurados correctamente. La replicación de eventos es necesaria para recuperarse automáticamente de un evento de conmutación por error. Si no tiene habilitada la replicación de eventos, tendrá que restablecer manualmente la comprobación de estado de Route 53 a “en buen estado” antes de que los eventos se redirijan a la región principal.

Corrección

Para habilitar la replicación de eventos para los puntos de conexión globales de EventBridge, consulte Crear un punto de conexión global en la Guía del usuario de Amazon EventBridge. Para la Replicación de eventos, seleccione Replicación de eventos habilitada.