Seguridad

Verifica los grupos de seguridad adjuntos al equilibrador de carga de aplicación y sus destinos de Amazon EC2. Los grupos de seguridad del equilibrador de carga de aplicación solo deben permitir los puertos entrantes que estén configurados en un oyente. Los grupos de seguridad de un destino no deben aceptar conexiones directas desde Internet en el mismo puerto en el que el destino recibe el tráfico del equilibrador de carga.

El riesgo de pérdida de datos o de ataques maliciosos aumenta si un grupo de seguridad permite el acceso a puertos que no están configurados para el equilibrador de carga o permite acceso directo a los objetivos.

Esta verificación excluye los siguientes grupos:

8604e947f2

Para mejorar la seguridad, asegúrese de que sus grupos de seguridad solo permitan los flujos de tráfico necesarios:

Comprueba si el periodo de retención del grupo de registros de Amazon CloudWatch está establecido en 365 días o en otra cantidad de días específica.

De forma predeterminada, los registros se conservan de forma indefinida y no caducan nunca. Sin embargo, puede ajustar la política de retención de cada grupo de registro para cumplir con las normativas del sector o los requisitos legales durante un periodo específico.

Puede especificar el tiempo mínimo de retención y los nombres de los grupos de registros mediante los parámetros LogGroupNames y MinRetentionTime en las reglas de AWS Config.

c18d2gz186

AWS Config Managed Rule: cw-loggroup-retention-period-check

Amarillo: el periodo de retención de un grupo de registros de Amazon CloudWatch es inferior a la cantidad mínima de días deseada.

Configure un periodo de retención de más de 365 días para los datos de registro almacenados en los registros de Amazon CloudWatch para cumplir con los requisitos de conformidad.

Para obtener más información, consulte Cambiar la retención de datos de registro en CloudWatch Logs.

Modificación de la retención de registros de CloudWatch

Verifica las versiones de SQL Server en las instancias de Amazon Elastic Compute Cloud (Amazon EC2) en ejecución durante las últimas 24 horas. Esta verificación le avisa si a las versiones les queda poco tiempo de soporte o si dicho soporte ya se ha vencido. Cada versión de SQL Server ofrece 10 años de soporte, que incluyen 5 años de soporte general y 5 años de asistencia ampliada. Una vez que se vence el plazo de soporte, la versión de SQL Server no recibirá actualizaciones de seguridad periódicas. La ejecución de aplicaciones con versiones de SQL Server no compatibles puede suponer riesgos de seguridad o conformidad.

Qsdfp3A4L3

Para modernizar las cargas de trabajo de SQL Server, considere refactorizar a bases de datos nativas de Nube de AWS como Amazon Aurora. Para obtener más información, consulte Modernice las cargas de trabajo de Windows con AWS.

Para pasar a una base de datos completamente administrada, considere redefinir la plataforma a Amazon Relational Database Service (Amazon RDS). Para obtener más información, consulte Amazon RDS para SQL Server.

Para actualizar SQL Server en Amazon EC2, considere utilizar el runbook de automatización a fin de simplificar la actualización. Para obtener más información, consulte la Documentación de AWS Systems Manager.

Si no puede actualizar SQL Server en Amazon EC2, considere el Programa de migración de la finalización del soporte (EMP) para Windows Server. Para obtener más información, consulte el sitio web de EMP.

Esta verificación le avisa si a las versiones de Microsoft Windows Server les queda poco tiempo de soporte o si dicho soporte ya se ha vencido. Cada versión de Windows Server ofrece 10 años de soporte, que incluyen 5 años de soporte general y 5 años de soporte ampliado. Una vez que se llega al final del soporte, la versión de Windows Server no recibirá actualizaciones de seguridad periódicas. La ejecución de aplicaciones con versiones de Windows Server no compatibles puede suponer riesgos de seguridad o conformidad.

Qsdfp3A4L4

Para modernizar las cargas de trabajo de Windows Server, considere las distintas opciones disponibles en Modernice las cargas de trabajo de Windows con AWS.

Para actualizar las cargas de trabajo de Windows Server para que se ejecuten en versiones más recientes de este, puede usar un manual de procedimientos. Para obtener más información, consulte la documentación de AWS Systems Manager.

Realice los siguientes pasos:

Esta verificación le avisa si a las versiones les queda poco tiempo de soporte o si dicho soporte ya se ha vencido. Es importante tomar medidas, ya sea migrando al siguiente LTS o actualizándolo a Ubuntu Pro. Una vez que se llega al final del soporte, sus máquinas 18.04 LTS no recibirán actualizaciones de seguridad. Con una suscripción a Ubuntu Pro, su implementación de Ubuntu 18.04 LTS podrá recibir mantenimiento de seguridad ampliado (ESM) hasta 2028. Las vulnerabilidades de seguridad que no se hayan reparado exponen los sistemas a los piratas informáticos y corren el riesgo de sufrir una violación grave.

c1dfprch15

Rojo: una instancia de Amazon EC2 tiene una versión de Ubuntu que ha llegado al final del soporte estándar (Ubuntu 18.04 LTS, 18.04.1 LTS, 18.04.2 LTS, 18.04.3 LTS, 18.04.4 LTS, 18.04.5 LTS y 18.04.6 LTS).

Amarillo: una instancia de Amazon EC2 tiene una versión de Ubuntu que finalizará el soporte estándar en menos de 6 meses (Ubuntu 20.04 LTS, 20.04.1 LTS, 20.04.2 LTS, 20.04.3 LTS, 20.04.4 LTS, 20.04.5 LTS y 20.04.6 LTS).

Verde: todas las instancias de Amazon EC2 son compatibles.

Para actualizar las instancias LTS de Ubuntu 18.04 a una versión LTS compatible, siga los pasos que se mencionan en este artículo. Para actualizar las instancias de Ubuntu 18.04 LTS a Ubuntu Pro, visite la consola de AWS License Manager y siga los pasos que se mencionan en la guía del usuario de AWS License Manager. También puede consultar el blog de Ubuntu, donde se muestra una demostración paso a paso de la actualización de las instancias de Ubuntu a Ubuntu Pro.

Para obtener información sobre los precios, contáctese con Soporte.

Verifica si el sistema de archivos de Amazon EFS está montado mediante cifrado de datos en tránsito. AWS recomienda que los clientes utilicen el cifrado de datos en tránsito para todos los flujos de datos a fin de protegerlos de la exposición accidental o del acceso no autorizado. Amazon EFS recomienda a los clientes utilizar la configuración de montaje ‘-o tls’ mediante el asistente de montaje de Amazon EFS para cifrar los datos en tránsito mediante TLS v1.2.

c1dfpnchv1

Amarillo: uno o más clientes NFS de su sistema de archivos Amazon EFS no utilizan la configuración de montaje recomendada que proporciona el cifrado de datos en tránsito.

Verde: todos los clientes NFS de su sistema de archivos Amazon EFS utilizan la configuración de montaje recomendada que proporciona cifrado de datos en tránsito.

Para aprovechar la característica de cifrado de datos en tránsito de Amazon EFS, le recomendamos que vuelva a montar el sistema de archivos con el asistente de montaje de Amazon EFS y la configuración de montaje recomendada.

Verifica la configuración de permisos de las instantáneas de volumen de Amazon Elastic Block Store (Amazon EBS) y le avisa si hay alguna instantánea accesible de manera pública.

Cuando se hace pública una instantánea, se proporciona a todas las Cuentas de AWS y todos los usuarios acceso a los datos de la instantánea. Si desea compartir una instantánea solo con usuarios o cuentas específicos, marque la instantánea como privada. A continuación, especifique el usuario o las cuentas con las que desea compartir los datos de la instantánea. Tenga en cuenta que si ha activado la opción Bloquear el acceso público en el modo ‘bloquear todo lo que se comparte’, las instantáneas públicas no serán de acceso público y no aparecerán en los resultados de esta verificación.

ePs02jT06w

Rojo: la instantánea del volumen de EBS es de acceso público.

A menos que esté seguro de que desea compartir todos los datos de la instantánea con todas las Cuentas de AWS y los usuarios, modifique los permisos\: marque la instantánea como privada y, a continuación, especifique las cuentas a las que quiere dar permiso. Para obtener más información, consulte Compartir una instantánea de Amazon EBS. Utilice el bloqueo del acceso público de instantáneas de EBS para controlar la configuración que permite el acceso público a los datos. No es posible ocultar esta comprobación en la consola Trusted Advisor.

Para modificar los permisos de las instantáneas directamente, puede utilizar un manual de procedimientos en la consola AWS Systems Manager. Para obtener más información, consulte AWSSupport-ModifyEBSSnapshotPermission.

Instantáneas de Amazon EBS

Amazon RDS admite el cifrado en reposo para todos los motores de bases de datos mediante las claves que administra en AWS Key Management Service. En una instancia de base de datos activa con cifrado de Amazon RDS, los datos almacenados en reposo en el almacenamiento están cifrados, de forma similar a las copias de seguridad, las réplicas de lectura y las instantáneas automatizadas.

Si el cifrado no está activado al crear un clúster de base de datos de Aurora, entonces, debe restaurar una instantánea descifrada en un clúster de base de datos cifrado.

c1qf5bt005

Rojo: los recursos de Aurora de Amazon RDS no tienen el cifrado activado.

Active el cifrado de los datos en reposo de su clúster de base de datos.

Puede activar el cifrado al crear una instancia de base de datos o utilizar una solución alternativa para activar el cifrado en una instancia de base de datos activa. No puede modificar un clúster de base de datos descifrado en un clúster de base de datos cifrado. Sin embargo, sí es posible restaurar una instantánea sin cifrar en un clúster de base de datos cifrado. Al restaurar desde la instantánea descifrada, debe especificar una clave de AWS KMS.

Para obtener más información, consulte Cifrado de recursos de Amazon Aurora.

Los recursos de su base de datos no están ejecutando la última versión secundaria del motor de base de datos. La última versión secundaria contiene las últimas revisiones de seguridad y otras mejoras.

c1qf5bt003

Amarillo: los recursos de su base de datos de Amazon no están ejecutando la última versión secundaria del motor de base de datos.

Actualice a la última versión del motor.

Le recomendamos que su base de datos esté actualizada con la última versión secundaria del motor de base de datos, ya que incluirá las últimas correcciones de seguridad y funcionalidad. Las actualizaciones de versiones secundarias del motor de base de datos contienen solo los cambios compatibles con versiones secundarias anteriores de la misma versión principal del motor de base de datos.

Para obtener más información, consulte Cómo actualizar la versión del motor de la instancia de base de datos.

Verifica la configuración de permisos de las instantáneas de base de datos de Amazon Relational Database Service (Amazon RDS) y le avisa si hay alguna instantánea marcada como pública.

Cuando se hace pública una instantánea, se proporciona a todas las Cuentas de AWS y todos los usuarios acceso a los datos de la instantánea. Si desea compartir una instantánea solo con usuarios o cuentas específicos, marque la instantánea como privada. A continuación, especifique el usuario o las cuentas con las que desea compartir los datos de la instantánea.

rSs93HQwa1

Rojo: la instantánea de Amazon RDS está marcada como pública.

A menos que esté seguro de que desea compartir todos los datos de la instantánea con todas las Cuentas de AWS y los usuarios, modifique los permisos\: marque la instantánea como privada y, a continuación, especifique las cuentas a las que quiere dar permiso. Para obtener más información, consulte Compartir una instantánea de base de datos o una instantánea de clúster de base de datos. No es posible ocultar esta comprobación en la consola Trusted Advisor.

Para modificar los permisos de las instantáneas directamente, puede utilizar un runbook en la consola AWS Systems Manager. Para obtener más información, consulte AWSSupport-ModifyRDSSnapshotPermission.

Copia de seguridad y restauración de instancias de base de datos de Amazon RDS

Verifica las configuraciones de grupos de seguridad de Amazon Relational Database Service (Amazon RDS) y avisa cuando una regla de grupo de seguridad concede un acceso excesivamente permisivo a la base de datos. Se recomienda configurar las reglas de grupo de seguridad para permitir el acceso solo desde grupos de seguridad específicos de Amazon Elastic Compute Cloud (Amazon EC2) o desde una dirección IP específica.

nNauJisYIT

EC2-Classic se retirará el 15 de agosto de 2022. Se recomienda trasladar las instancias de Amazon RDS a una VPC y utilizar grupos de seguridad de Amazon EC2. Para obtener más información sobre cómo mover una instancia de base de datos a una VPC, consulte Mover una instancia de base de datos que no está en una VPC a una VPC.

Si no se pueden migrar sus instancias de Amazon RDS a una VPC, revise las reglas de los grupos de seguridad y limite el acceso a intervalos de IP o direcciones IP autorizadas. Para editar un grupo de seguridad, utilice la API AuthorizeDBSecurityGroupIngress o la Consola de administración de AWS. Para obtener más información, consulte Trabajo con grupos de seguridad de base de datos.

Amazon RDS admite el cifrado en reposo para todos los motores de bases de datos mediante las claves que administra en AWS Key Management Service. En una instancia de base de datos activa con cifrado de Amazon RDS, los datos almacenados en reposo en el almacenamiento están cifrados, de forma similar a las copias de seguridad, las réplicas de lectura y las instantáneas automatizadas.

Si el cifrado no está activado al crear una instancia de base de datos, se debe restaurar una copia cifrada de la instantánea descifrada de la instancia dantes de activar el cifrado.

c1qf5bt006

Rojo: los recursos de Amazon RDS no tienen el cifrado activado.

Active el cifrado de los datos en reposo de su instancia de base de datos.

Solo se puede cifrar una instancia de base de datos al crearla. Para cifrar una instancia de base de datos activa existente:

Para obtener más información, consulte los siguientes recursos:

Verifica las zonas alojadas de Amazon Route 53 con registros CNAME que apuntan directamente a los nombres de host del bucket de Amazon S3 y le avisa si su CNAME no coincide con el nombre del bucket de S3.

c1ng44jvbm

Rojo: la zona alojada de Amazon Route 53 tiene registros CNAME que indican que los nombres de host del bucket de S3 no coinciden.

Verde: no se han encontrado registros CNAME que no coinciden en su zona alojada de Amazon Route 53.

Al apuntar registros CNAME a nombres de host del bucket de S3, debe asegurarse de que existe un bucket coincidente para cualquier registro CNAME o alias que configure. De este modo, evita el riesgo de que los registros CNAME sean falsificados. También evita que cualquier usuario de AWS no autorizado aloje contenido web defectuoso o malintencionado en su dominio.

Para evitar apuntar los registros CNAME directamente a los nombres de host del bucket de S3, considere utilizar el control de acceso de origen (OAC) para acceder a los activos web del bucket de S3 a través de Amazon CloudFront.

Para obtener más información sobre cómo asociar CNAME a un nombre de host de un bucket de Amazon S3, consulte Personalización de las URL de Amazon S3 con registros CNAME.

Para cada registro MX, verifica un registro TXT asociado que contenga un valor SPF válido. El valor del registro TXT debe comenzar con “v=spf1". Los tipos de registro SPF están obsoletos por el Internet Engineering Task Force (IETF). Con Route 53, se recomienda utilizar un registro TXT en lugar de un registro SPF. Trusted Advisor muestra esta verificación en verde cuando un registro MX tiene al menos un registro TXT asociado con un valor SPF válido.

c9D319e7sG

Para cada conjunto de registros de recursos MX, cree un conjunto de registros de recursos TXT que contenga un valor SPF válido. Para obtener más información, consulte Marco de directivas de remitentes: sintaxis de registro SPF y Creación de conjuntos de registros de recursos con la consola Amazon Route 53.

Verifica los buckets de Amazon Simple Storage Service (Amazon S3) que tienen permisos de acceso abierto o que permiten el acceso a cualquier usuario de AWS.

Esta verificación examina los permisos de bucket explícitos, así como las políticas de bucket que podrían invalidar dichos permisos. No se recomienda conceder permisos de acceso a la lista a todos los usuarios para un bucket de Amazon S3. Estos permisos pueden permitir que usuarios no deseados generen listas de objetos en el bucket a una frecuencia elevada, lo que puede dar lugar a cargos superiores a los esperados. Los permisos que otorgan acceso de carga y eliminación a todos los usuarios pueden provocar vulnerabilidades de seguridad en su bucket.

Pfx0RwqBli

Si un bucket permite el acceso abierto, determine si este tipo de acceso es realmente necesario. Por ejemplo, para alojar un sitio web estático, puede utilizar Amazon CloudFront para atender el contenido alojado en Amazon S3. Consulte Restricción del acceso a un origen de Amazon S3 en la Guía para desarrolladores de Amazon CloudFront. Cuando sea posible, actualice los permisos del bucket para restringir el acceso al propietario o a usuarios específicos. Utilice el bloqueo del acceso público de Amazon S3 para controlar la configuración que permite el acceso público a los datos. Consulte Configuración de permisos de acceso a buckets y objetos.

Administración de permisos de acceso para los recursos de Amazon S

Establecer la configuración del bloqueo del acceso público para sus buckets de Amazon S3

Comprueba si las conexiones de emparejamiento de VPC tienen la resolución de DNS activada tanto para las VPC que aceptan como para las que solicitan.

La resolución de DNS para una conexión de emparejamiento de VPC permite la resolución de nombres de host DNS públicos en direcciones IPv4 privadas cuando se realizan consultas desde la VPC. Esto permite el uso de nombres de DNS para la comunicación entre los recursos de las VPC emparejadas. La resolución de DNS en las conexiones de emparejamiento de VPC hace que el desarrollo y la administración sean más sencillos y menos propensos a errores, y garantiza que los recursos siempre se comuniquen de forma privada a través de la conexión de emparejamiento de VPC.

Puede especificar los ID de VPC mediante los parámetros vpcIds en las reglas de AWS Config.

Para obtener más información, consulte Habilitación de la resolución de DNS para la conexión de emparejamiento de VPC.

c18d2gz124

AWS Config Managed Rule: vpc-peering-dns-resolution-check

Amarillo: la resolución de DNS no está habilitada para las VPC que aceptan ni para las que solicitan en una conexión de emparejamiento de VPC.

Active la resolución de DNS para sus conexiones de emparejamiento de VPC.

Verifica que los grupos de destino del equilibrador de carga de aplicación (ALB) utilizan el protocolo HTTPS para cifrar la comunicación en tránsito para los tipos de instancia o IP de destino de backend. Las solicitudes HTTPS entre el ALB y los destinos de backend ayudan a mantener la confidencialidad de los datos en tránsito.

c2vlfg0p1w

Configure los tipos de instancia o IP de destino de backend para que admitan el acceso HTTPS y cambie el grupo de destino para usar el protocolo HTTPS para cifrar la comunicación entre los tipos de instancia o IP de ALB y de destino backend.

Aplicación del cifrado de los datos en tránsito

Tipos de destino del equilibrador de carga de aplicación

Configuración de enrutamiento del equilibrador de carga de aplicación

Protección de datos en Elastic Load Balancing

Comprueba si los almacenes AWS Backup tienen una política basada en recursos adjunta que impida la eliminación de los puntos de recuperación.

La política basada en recursos evita la eliminación inesperada de puntos de recuperación, lo que permite reforzar el control de acceso con privilegios mínimos a los datos de copia de seguridad.

Puede especificar los ARN de AWS Identity and Access Management que no desea que compruebe la regla en el parámetro principalArnList de las reglas de AWS Config.

c18d2gz152

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

Amarillo: hay almacenes AWS Backup que no tienen una política basada en recursos que impida la eliminación de los puntos de recuperación.

Cree políticas basadas en recursos para sus almacenes AWS Backup para evitar la eliminación inesperada de los puntos de recuperación.

La política debe incluir una instrucción “Deny” (Denegar) con los permisos backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle y backup:PutBackupVaultAccessPolicy.

Para obtener más información, consulte Configuración de políticas de acceso en almacenes de copias de seguridad.

Verifica el uso de AWS CloudTrail. CloudTrail proporciona una mayor visibilidad de la actividad en su Cuenta de AWS. Para ello, registra información sobre llamadas a la API de AWS que se realizan en la cuenta. Puede utilizar estos registros para determinar, por ejemplo, qué acciones llevó a cabo un usuario determinado durante un periodo de tiempo específico o qué usuarios llevaron a cabo acciones en un recurso determinado durante un periodo de tiempo especificado.

Debido a que CloudTrail distribuye los archivos de registro a un bucket de Amazon Simple Storage Service (Amazon S3), CloudTrail debe tener permisos de escritura para el bucket. Si se aplica un registro de seguimiento a todas las Regiones de AWS (la opción predeterminada cuando se crea un nuevo registro de seguimiento), este aparecerá varias veces en el informe de Trusted Advisor.

c25hn9x03v

Para crear un registro de seguimiento o iniciar el registro desde la consola, abra la consola de AWS CloudTrail.

Para iniciar el registro, consulte Detener e iniciar la ejecución de un registro de seguimiento.

Si tiene errores de entrega de registros, entonces verifique que el bucket exista y que la política necesaria esté adjuntada al bucket. Consulte Política de bucket de Amazon S3.

Verifica las funciones de Lambda cuya versión $LATEST está configurada para utilizar un tiempo de ejecución que pronto estará o que ya está obsoleto. Los tiempos de ejecución obsoletos no pueden recibir actualizaciones de seguridad ni soporte técnico.

Las versiones publicadas de las funciones Lambda son inmutables, lo que significa que se pueden invocar pero no actualizar. Solo se puede actualizar la versión $LATEST de una función de Lambda. Para obtener más información, consulte Versiones de la función Lambda.

L4dfs2Q4C5

Si tiene funciones que se ejecutan en un tiempo de ejecución que estará obsoleto en breve, debe prepararse para migrar a un tiempo de ejecución compatible. Para obtener más información, consulte Política de soporte de tiempo de ejecución.

Le recomendamos que elimine las versiones de funciones anteriores que ya no utilice.

Tiempos de ejecución de Lambda

Verifica si hay problemas de alto riesgo para las cargas de trabajo en el pilar de seguridad. Esta verificación se basa en las revisiones de AWS-Well Architected. Los resultados de las verificaciones dependen de si ha completado la evaluación de la carga de trabajo con AWS Well-Architected.

Wxdfp4B1L3

AWS Well-Architected detectó problemas de alto riesgo durante la evaluación de la carga de trabajo. Estos problemas presentan oportunidades para reducir el riesgo y ahorrar dinero. Inicie sesión en la herramienta AWS Well-Architected para revisar las respuestas y tomar medidas para resolver los problemas activos.

Verifica los certificados SSL para los nombres de dominio alternativos de CloudFront en el almacén de certificados de IAM. Esta verificación le avisa si un certificado ha caducado, si caducará pronto, si utiliza cifrado obsoleto o si no está configurado correctamente para la distribución.

Cuando caduca un certificado personalizado para un nombre de dominio alternativo, los navegadores que muestran el contenido de CloudFront pueden mostrar un mensaje de advertencia sobre la seguridad de su sitio web. Los certificados cifrados mediante el algoritmo hash SHA-1 están pronto estarán obsoletos para la mayoría de navegadores web como, por ejemplo, Chrome y Firefox.

Un certificado debe contener un nombre de dominio que coincida con el nombre de dominio de origen o el nombre de dominio del encabezado de host de una solicitud de lector. Si el nombre no coincide, CloudFront devuelve al usuario un código de estado HTTP 502 (gateway incorrecta). Para obtener más información, consulte Usar nombres de dominio alternativos y HTTPS.

N425c450f2

Se recomienda utilizar AWS Certificate Manager para aprovisionar, administrar e implementar los certificados de servidor. Con ACM puede solicitar un certificado o implementar un certificado de ACM existente o un certificado externo en los recursos de AWS. Los certificados que proporciona ACM son gratuitos y pueden renovarse automáticamente. Para obtener más información sobre ACM, consulte la Guía del usuario de AWS Certificate Manager. Para comprobar qué Regiones de AWS admite ACM, consulte los AWS Certificate Managerpuntos de conexión de y las cuotas en Referencia general de AWS.

Renueve certificados caducados o que estén a punto de caducar. Para obtener más información sobre la renovación de un certificado, consulte Administración de certificados de servidor en IAM.

Reemplace el certificado que se cifró con el algoritmo hash SHA-1 por otro que se haya cifrado con el algoritmo hash SHA-256.

Reemplace el certificado por otro que contenga los valores aplicables en los campos Common Name (Nombre común) o Subject Alternative Domain Names (Nombres de dominio alternativos del sujeto).

Usar una conexión HTTPS para acceder a los objetos

Importar certificados

AWS Certificate Manager Guía del usuario de

Verifica el servidor de origen en busca de certificados SSL que hayan caducado, que estén a punto de caducar, que no se encuentren o que utilicen un cifrado obsoleto. Si un certificado tiene alguno de estos problemas, CloudFront responderá a las solicitudes de contenido con el código de estado HTTP 502 (gateway incorrecta).

Los certificados que se cifraron mediante el algoritmo hash SHA-1 comienzan a estar obsoletos en navegadores web como Chrome y Firefox. Según la cantidad de certificados SSL que tenga asociados con las distribuciones de CloudFront, esta comprobación podría agregar algunos centavos al mes a la factura de su proveedor de servicios de alojamiento web, por ejemplo, AWS si utiliza Amazon EC2 o Elastic Load Balancing como el origen de la distribución de CloudFront. Esta comprobación no valida la cadena de su certificado de origen ni las autoridades de certificación. Puede hacer estas comprobaciones en la configuración de CloudFront.

N430c450f2

Renueve el certificado en el origen si ha caducado o está a punto de caducar.

Agregue un certificado si no existe uno.

Reemplace el certificado que se cifró con el algoritmo hash SHA-1 por otro que se haya cifrado con el algoritmo hash SHA-256.

Uso de nombres de dominio alternativos y HTTPS

Verifica si hay equilibradores de carga clásicos con oyentes que no utilicen configuraciones de seguridad recomendadas para la comunicación cifrada. AWS recomienda utilizar un protocolo seguro (HTTPS o SSL), políticas de seguridad actualizadas, así como cifrados y protocolos seguros. Cuando se utiliza un protocolo seguro para una conexión frontend (del cliente al equilibrador de carga), las solicitudes se cifran entre los clientes y el equilibrador de carga, lo que crea un entorno más seguro. Esto crea un entorno más seguro. Elastic Load Balancing proporciona políticas de seguridad predefinidas con cifrados y protocolos que se adhieren a las prácticas recomendadas de seguridad de AWS. Las nuevas versiones de las políticas predefinidas se publican a medida que están disponibles las nuevas configuraciones.

a2sEc6ILx

Si es necesario que el tráfico al equilibrador de carga sea seguro, utilice el protocolo HTTPS o SSL para la conexión fron-tend.

Actualice el equilibrador de carga a la última versión de la política de seguridad SSL predefinida.

Utilice únicamente los cifrados y protocolos recomendados.

Para obtener más información, consulte Configuraciones de agentes de escucha de Elastic Load Balancing.

Verifica si hay equilibradores de carga configurados con un grupo de seguridad que falta o un grupo de seguridad que permite el acceso a puertos que no están configurados para el equilibrador de carga.

El riesgo de pérdida de datos o de ataques maliciosos aumenta si un grupo de seguridad permite el acceso a puertos que no están configurados para el balanceador de carga.

xSqX82fQu

Configure las reglas del grupo de seguridad para restringir el acceso solo a aquellos puertos y protocolos definidos en la configuración del agente de escucha del equilibrador de carga, además del protocolo de ICMP para admitir la detección de MTU de ruta. Consulte Agentes de escucha para el equilibrador de carga clásico y Grupos de seguridad para equilibradores de carga de una VPC.

Si falta un grupo de seguridad, aplique un grupo de seguridad nuevo al equilibrador de carga. Cree reglas de grupos de seguridad que restrinjan el acceso solo a esos puertos y protocolos que se han definido en la configuración del agente de escucha del equilibrador de carga. Consulte Grupos de seguridad para los equilibradores de carga de una VPC.

Verifica los repositorios de código populares en busca de claves de acceso que se hayan expuesto al público y de usos irregulares de Amazon Elastic Compute Cloud (Amazon EC2) que podrían ser el resultado de claves de acceso comprometidas.

Las claves de acceso constan de un ID de clave de acceso y una clave de acceso secreta. Las claves de acceso expuestas suponen un riesgo de seguridad para su cuenta y para otros usuarios. Además, pueden ocasionar cargos excesivos por actividades no autorizadas o abusos e infracciones del Acuerdo de cliente de AWS.

Si su clave de acceso se ha visto expuesta, tome medidas de inmediato para proteger su cuenta. Para proteger su cuenta frente cargos excesivos, AWS limitará temporalmente su capacidad para crear algunos recursos de AWS. Esto no hace que su cuenta sea segura. Solo limita parcialmente el uso no autorizado que podría ocasionar cargos adicionales.

Si se muestra una fecha límite para una clave de acceso, AWS puede suspender su Cuenta de AWS si el uso no autorizado no se detiene antes de esa fecha. Si cree que esta alerta es un error, póngase en contacto con AWS Support.

La información que se muestra en Trusted Advisor podría no reflejar el estado más reciente de su cuenta. Las claves de acceso expuestas se marcan como resueltas cuando se han resuelto todas las claves de acceso expuestas de la cuenta. Esta sincronización de datos puede llevar hasta una semana.

12Fnkpl8Y5

Elimine la clave de acceso afectada lo antes posible. Si la clave está asociada a un usuario de IAM, consulte Administración de las claves de acceso de los usuarios de IAM.

Compruebe si se ha producido un uso no autorizado en la cuenta. Inicie sesión en la Consola de administración de AWS y compruebe cada consola de servicio para detectar recursos sospechosos. Preste especial atención a las instancias de Amazon EC2 en ejecución, las solicitudes de instancias de spot, las claves de acceso y los usuarios de IAM. También puede comprobar el uso general en la Consola de administración de costos y facturación.

Verifica si hay claves de acceso de IAM activas que no se han rotado en los últimos 90 días.

Cuando se rotan las claves de acceso de forma periódica, se reduce la posibilidad de que pueda utilizarse una clave comprometida sin su conocimiento para acceder a los recursos. A efectos de esta verificación, se considera como última fecha y hora de rotación la fecha y la hora en que se creó o activó la clave de acceso. El número y la fecha de la clave de acceso proceden de la información de access_key_1_last_rotated y access_key_2_last_rotated del informe de credenciales de IAM más reciente.

Dado que la frecuencia de regeneración de un informe de credenciales está restringida, es posible que al actualizar esta comprobación no se reflejen los cambios recientes. Para obtener más información, consulte Obtención de informes de credenciales para la cuenta de Cuenta de AWS.

Para crear y rotar las claves de acceso, un usuario debe tener los permisos adecuados. Para obtener más información, consulte Permitir a los usuarios administrar sus propias contraseñas, claves de acceso y claves SSH.

DqdJqYeRm5

Rote con regularidad las claves de acceso. Consulte Rotación de las claves de acceso y Administración de las claves de acceso de los usuarios de IAM.

Verifica si existe el acceso externo de IAM Access Analyzer a nivel de cuenta.

Los analizadores de acceso externo de IAM Access Analyzer ayudan a identificar los recursos de su organización en sus cuentas que se comparten con una entidad externa. A continuación, el analizador crea un panel centralizado con los resultados. Una vez activado el nuevo analizador en la consola de IAM, los equipos de seguridad pueden priorizar las cuentas que van a revisar en función de los permisos excesivos. Un analizador de acceso externo genera resultados sobre el acceso público y el acceso entre cuentas a los recursos, y se proporciona sin costo adicional.

07602fcad6

La creación de un analizador de acceso externo por cuenta ayuda a los equipos de seguridad a priorizar qué cuentas revisar en función de los permisos excesivos. Para obtener más información, consulte Introducción a los resultados de AWS Identity and Access Management Access Analyzer.

Además, es una buena práctica utilizar el analizador de acceso no utilizado, una característica de pago que simplifica la inspección del acceso no utilizado para orientarle hacia el nivel de privilegio mínimo. Para más información, consulte Identifying unused access granted to IAM users and roles.

Verifica la política de contraseñas de su cuenta y avisa cuando no se ha habilitado una política de contraseñas o si no se han habilitado los requisitos de contenido de contraseñas.

Los requisitos de contenido de contraseñas aumentan la seguridad general del entorno de AWS al requerir la creación de contraseñas de usuario seguras. Al crear o cambiar una política de contraseñas, el cambio se aplica de inmediato para los nuevos usuarios, pero no requiere que los usuarios existentes cambien sus contraseñas.

Yw2K9puPzl

Si algunos requisitos de contenido no estuvieran habilitados, considere habilitarlos. Si no hay una política de contraseñas habilitada, cree y configure una. Consulte Configuración de una política de contraseñas de la cuenta para usuarios de IAM.

Para obtener acceso a Consola de administración de AWS, los usuarios de IAM necesitan contraseñas. Como práctica recomendada, AWS recomienda encarecidamente que, en lugar de crear usuarios de IAM, utilice la federación. La federación permite a los usuarios utilizar sus credenciales corporativas existentes para iniciar sesión en Consola de administración de AWS. Utilice IAM Identity Center para crear o federar el usuario y, a continuación, asuma un rol de IAM en una cuenta.

Para obtener más información sobre los proveedores de identidad y la federación, consulte Proveedores de identidad y federación en la Guía del usuario de IAM. Para obtener más información sobre IAM Identity Center, consulte la Guía del usuario de IAM Identity Center.

Administración de contraseñas

Verifica si la Cuenta de AWS está configurada para el acceso a través de un proveedor de identidad (IdP) compatible con SAML 2.0. Asegúrese de seguir las prácticas recomendadas al centralizar las identidades y configurar los usuarios en un proveedor de identidades externo o AWS IAM Identity Center.

c2vlfg0p86

Active IAM Identity Center para Cuenta de AWS. Para obtener más información, consulte Habilitación de IAM Identity Center. Tras activar el IAM Identity Center, se podrán realizar tareas habituales, como crear un conjunto de permisos y asignar el acceso a los grupos del centro de identidad. Para obtener más información, consulte Tareas comunes.

Se recomienda administrar los usuarios humanos en el IAM Identity Center. Sin embargo, puede activar el acceso de usuario federado con IAM para usuarios humanos a corto plazo para implementaciones a pequeña escala. Para obtener más información, consulte Federación SAML 2.0..

Qué es IAM Identity Center?

¿Qué es IAM?

Verifica las credenciales del usuario raíz de una cuenta y advierte si la autenticación multifactor (MFA) no está habilitada.

Para aumentar la seguridad, se recomienda proteger la cuenta mediante MFA, lo que requiere que los usuarios ingresen un código de autenticación único desde su hardware MFA o dispositivo virtual cuando interactúen con la Consola de administración de AWS y con los sitios web asociados.

7DAFEmoDos

Si se trata de una cuenta de miembro en AWS Organizations: inicie sesión en su cuenta de administración, habilite la característica de administración de acceso raíz en IAM y elimine las credenciales de usuario raíz de esta cuenta de miembro. Consulte Centralización del acceso raíz para las cuentas de miembros.

Si se trata de una cuenta de administración o independiente en AWS Organizations: inicie sesión en su cuenta raíz y active un dispositivo de MFA. Para obtener información, consulte Verificar el estado de MFA y Autenticación multifactor en IAM AWS

Comprueba si la clave de acceso del usuario raíz está presente. Se recomienda encarecidamente no crear pares de claves de acceso para el usuario raíz. Dado que solo unas pocas tareas requieren el usuario raíz y, por lo general, las realiza con poca frecuencia, le recomendamos iniciar sesión en la Consola de administración de AWS para realizar las tareas de usuario raíz. Antes de crear claves de acceso, revise las alternativas a las claves de acceso a largo plazo.

c2vlfg0f4h

Elimine las claves de acceso para el usuario raíz. Consulte Eliminación de claves de acceso para el usuario raíz. Esta tarea debe realizarla el usuario raíz. No puede realizar estos pasos como usuario o rol de IAM.

Verifica los grupos de seguridad en busca de reglas que permitan el acceso sin restricciones (0.0.0.0/0) a puertos específicos.

El acceso sin restricciones aumenta las oportunidades de actividades maliciosas (piratería, ataques de denegación de servicio, pérdida de datos). Los puertos con mayor riesgo se marcan en rojo y los que tienen menos riesgo en amarillo. Los puertos marcados en verde son los que suelen utilizar aplicaciones que requieren acceso sin restricciones, como, por ejemplo, HTTP y SMTP.

Si ha configurado de manera intencionada sus grupos de seguridad de esta manera, le recomendamos que utilice medidas de seguridad adicionales para proteger su infraestructura (como, por ejemplo, tablas IP).

HCP4007jGY

Restrinja el acceso solo a aquellas direcciones IP que lo necesiten. Para restringir el acceso a una dirección IP específica, establezca el sufijo en /32 (por ejemplo, 192.0.2.10/32). Asegúrese de eliminar las reglas excesivamente permisivas después de crear reglas más restrictivas.

Revise y elimine los grupos de seguridad no utilizados. Puede utilizar AWS Firewall Manager para configurar y administrar de forma centralizada los grupos de seguridad a escala en las Cuentas de AWS. Para obtener más información, consulte la documentación de AWS Firewall Manager.

Considere utilizar Systems Manager Sessions Manager para el acceso SSH (puerto 22) y RDP (puerto 3389) a las instancias de EC2. Con el administrador de sesiones, puede acceder a las instancias de EC2 sin habilitar los puertos 22 y 3389 en el grupo de seguridad.

Verifica los grupos de seguridad en busca de reglas que permitan el acceso sin restricciones a un recurso.

El acceso sin restricciones aumenta las oportunidades de actividades maliciosas (piratería, ataques de denegación de servicio, pérdida de datos).

1iG5NDGVre

Restrinja el acceso solo a aquellas direcciones IP que lo necesiten. Para restringir el acceso a una dirección IP específica, establezca el sufijo en /32 (por ejemplo, 192.0.2.10/32). Asegúrese de eliminar las reglas excesivamente permisivas después de crear reglas más restrictivas.

Revise y elimine los grupos de seguridad no utilizados. Puede utilizar AWS Firewall Manager para configurar y administrar de forma centralizada los grupos de seguridad a escala en las Cuentas de AWS. Para obtener más información, consulte la documentación de AWS Firewall Manager.

Considere utilizar Systems Manager Sessions Manager para el acceso SSH (puerto 22) y RDP (puerto 3389) a las instancias de EC2. Con el administrador de sesiones, puede acceder a las instancias de EC2 sin habilitar los puertos 22 y 3389 en el grupo de seguridad.