Cambios que introduzcan riesgos de seguridad altos o muy altos en su entorno - Guía de usuario avanzada de AMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cambios que introduzcan riesgos de seguridad altos o muy altos en su entorno

Los siguientes cambios introducen un riesgo de seguridad alto o muy alto en su entorno:

AWS Identity and Access Management

  • High_risk-IAM-001: Cree claves de acceso para la cuenta raíz

  • High_risk-IAM-002: modificación de la política de SCP para permitir un acceso adicional

  • High_risk-IAM-003: modificación de la política de SCP que podría dañar la infraestructura de AMS

  • High_Risk-IAM-004: Creación de una cuenta de cliente role/user con permisos variables en la infraestructura (escritura, gestión de permisos o etiquetado)

  • High_Risk-IAM-005: IAM aplica políticas de confianza entre las cuentas de AMS y las cuentas de terceros (que no son propiedad del cliente)

  • High_risk-IAM-006: políticas multicuenta para acceder a cualquier clave de KMS desde una cuenta de AMS (desde una cuenta de terceros)

  • High_risk-IAM-007: políticas multicuenta de cuentas de terceros para acceder a un bucket de S3 de un cliente de AMS o a recursos donde se puedan almacenar datos (como Amazon RDS, Amazon DynamoDB o Amazon Redshift)

  • High_Risk-IAM-008: asigne los permisos de IAM a cualquier infraestructura que modifique el permiso de la cuenta del cliente

  • High_risk-IAM-009: Permite publicar y leer todos los depósitos de S3 de la cuenta

  • High_risk-IAM-010: aprovisionamiento automatizado de IAM con permisos read/write

Seguridad de la red

  • High_RISK-NET-001: Abra los puertos de administración del sistema operativo SSH/22 o SSH/2222 (no SFTP/2222), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/ 5900-5901 TS/CITRIX/1494 o 1604, LDAP/389 o 636 y NETBIOS/137-139 desde Internet

  • High_risk-net-002: Abra los puertos de administración de bases de datos MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433 o cualquier puerto de administración de clientes desde Internet

  • High_risk-net-003: abra los puertos de aplicaciones HTTP/80, HTTPS/8443 y HTTPS/443 directamente en cualquier recurso informático. Por ejemplo, instancias, contenedores, etc. desde Internet EC2 ECS/EKS/Fargate

  • High_Risk-Net-004: cualquier cambio en los grupos de seguridad que controlan el acceso a la infraestructura AMS

  • High_risk-net-006: interconexión de VPC con la cuenta de terceros (que no es propiedad del cliente)

  • High_risk-net-007: Se ha añadido el firewall del cliente como punto de salida para todo el tráfico de AMS

  • High_risk-net-008: No se permite adjuntar archivos adjuntos a Transit Gateway a la cuenta de terceros

  • High_Risk-S3-001: Aprovisiona o habilita el acceso público en el bucket S3

Registro

  • CloudTrailHigh_risk-log-001: Desactivar. (Se requiere la aprobación del administrador del sitio de operaciones)

  • High_risk-log-002: inhabilita los registros de flujo de la VPC. (Se requiere la aprobación del administrador del sitio de operaciones)

  • High_risk-log-003: reenvío de registros mediante cualquier método (notificación de eventos S3, extracción mediante un agente SIEM, inserción mediante un agente SIEM, etc.) desde una cuenta gestionada por AMS a una cuenta de terceros (no propiedad del cliente)

  • High_risk-log-004: Utilice un registro que no sea de AMS para CloudTrail

Seguridad del host

  • High_risk-HOST-001: deshabilita la seguridad de End Point en la cuenta por cualquier motivo. (Se requiere la aprobación del administrador del sitio de operaciones)

  • High_Risk-Host-002: deshabilita la aplicación de parches en un recurso o a nivel de cuenta.

  • High_risk-host-003: Implementación de una instancia no administrada en la cuenta. EC2

  • High_risk-host-004: ejecutar un script personalizado proporcionado por el cliente.

  • High_risk-host-005: creación de cuentas de administrador local en las instancias.

  • High_Risk-Host-006: Excluye el escaneo de tipos o extensiones de archivo EPS de Trend Micro o deshabilita la protección contra malware en los terminales.

    nota

    No es obligatorio aceptar el riesgo para las normas de exclusión o GuardDuty supresión de antimalware de la EPS relacionadas con las pruebas de penetración o los análisis de vulnerabilidades o los problemas de rendimiento que afecten al servicio y que justifiquen la adopción de medidas proactivas. events/known En estas situaciones, basta con una notificación de riesgo.

  • High_risk-host-007: Crear para KeyPair EC2

  • High_risk-host-008: Deshabilite la seguridad del punto final en el EC2

  • High_risk-host-009: Cuentas que utilizan el sistema operativo End of Life (EOL)

Misceláneo

  • High_risk-enc-001: deshabilita el cifrado en cualquier recurso si está activado

Active Directory administrado

  • High_Risk-AD-001: proporciona derechos de administrador al usuario o grupo de Active Director

  • High_Risk-AD-002: políticas de GPO capaces de reducir la postura de seguridad de la cuenta