Controles de Security Hub para Kinesis
Estos controles de AWS Security Hub CSPM evalúan el servicio Amazon Kinesis y sus recursos.
Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
Categoría: Proteger > Protección de datos > Cifrado de datos en reposo
Gravedad: media
Tipo de recurso: AWS::Kinesis::Stream
AWS Config Regla de: kinesis-stream-encrypted
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si Kinesis Data Streams está cifrada en reposo con el cifrado del servidor. Este control falla si una transmisión de Kinesis no se cifra en reposo con el cifrado del servidor.
El cifrado del servidor es una característica de Amazon Kinesis Data Streams que cifra automáticamente los datos antes de que estén en reposo mediante un AWS KMS key. Los datos se cifran antes de escribirlos en la capa de almacenamiento del flujo de Kinesis y se descifran después de recuperarlos del almacenamiento. Como resultado, sus datos se cifran en reposo dentro del servicio de Amazon Kinesis Data Streams.
Corrección
Para obtener información sobre cómo habilitar el cifrado del servidor para las transmisiones de Kinesis, consulte ¿Cómo puedo empezar con el cifrado del servidor? en la Guía para desarrolladores de Amazon Kinesis.
[Kinesis.2] Las transmisiones de Kinesis deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::Kinesis::Stream
Regla de AWS Config: tagged-kinesis-stream (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. | Sin valor predeterminado |
Este control comprueba si un flujo de datos de Amazon Kinesis tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza un error si el flujo de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el flujo de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a un flujo de datos de Kinesis, consulte Etiquetado de flujos de Amazon Kinesis Data Streams en la Guía para desarrolladores de Amazon Kinesis.
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
Gravedad: media
Tipo de recurso: AWS::Kinesis::Stream
AWS ConfigRegla de: kinesis-stream-backup-retention-check
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
minimumBackupRetentionPeriod
|
Cantidad mínima de horas que deben conservarse los datos. | Cadena | 24 a 8760 | 168 |
Este control comprueba si un flujo de datos de Amazon Kinesis tiene un periodo de retención de datos más largo o igual de largo que el periodo especificado. El control lanza un error si el periodo de retención de datos es más corto que el periodo especificado. A menos que se proporcione un valor personalizado para el parámetro del periodo de retención de datos, Security Hub utiliza un valor predeterminado de 168 horas.
En Kinesis Data Streams, un flujo de datos es una secuencia ordenada de registros de datos que se puede escribir y leer en tiempo real. Los registros de datos se almacenan temporalmente en particiones de su flujo. El periodo de tiempo desde que se agrega un registro hasta que ya no se puede obtener acceso a él se denomina periodo de retención. Kinesis Data Streams hace que los registros más antiguos que el nuevo periodo de retención sean inaccesibles casi inmediatamente después de reducir el periodo de retención. Por ejemplo, cambiar el periodo de retención de 24 horas a 48 horas implica que los registros añadidos a la secuencia 23 horas y 55 minutos antes seguirán estando disponibles después de que hayan transcurrido 24 horas.
Corrección
Para cambiar el periodo de retención de las copias de seguridad de sus flujos de Kinesis Data Streams, consulte Change the data retention period en la Guía para desarrolladores de Amazon Kinesis Data Streams.
