Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Controles CSPM de Security Hub para Auto Scaling
Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon EC2 Auto Scaling.
Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).
## [AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar las comprobaciones de estado del ELB
**Requisitos relacionados:** PCI DSS v3.2.1/2.2, Nist.800-53.r5 CP-2 (2) NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-2
**Categoría:** Identificar - Inventario
**Gravedad:** baja
**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si un grupo de Amazon EC2 Auto Scaling asociado a un balanceador de cargas utiliza comprobaciones de estado de Elastic Load Balancing (ELB). El control falla si el grupo de escalado automático no utiliza comprobaciones de estado de ELB.
Las comprobaciones de estado de ELB ayudan a garantizar que el grupo de escalado automático pueda determinar el estado de una instancia en función de las pruebas adicionales que proporciona el equilibrador de carga. El uso de comprobaciones de estado de Elastic Load Balancing también ayuda a respaldar la disponibilidad de las aplicaciones que utilizan grupos de EC2 Auto Scaling.
### Corrección
Para añadir comprobaciones de estado de Elastic Load Balancing, consulte [Añadir comprobaciones de estado de Elastic Load Balancing](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console) en la *Guía del usuario de Amazon EC2 Auto Scaling*.
## [AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)
**Categoría**: Recuperación > Resiliencia > Alta disponibilidad
**Gravedad:** media
**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Cantidad mínima de zonas de disponibilidad | Enum | `2, 3, 4, 5, 6` | `2` |
Este control comprueba si un grupo de Amazon EC2 Auto Scaling abarca al menos el número especificado de zonas de disponibilidad (AZs). El control falla si un grupo de Auto Scaling no abarca al menos el número especificado de AZs. A menos que proporcione un valor de parámetro personalizado para el número mínimo de AZs, el CSPM de Security Hub utiliza un valor predeterminado de dos. AZs
Un grupo de Auto Scaling que no abarque varias zonas no AZs puede lanzar instancias en otra zona de disponibilidad para compensar si la zona de disponibilidad única configurada deja de estar disponible. Sin embargo, en algunos casos de uso, puede preferirse un grupo de escalado automático con una sola zona de disponibilidad, como los trabajos por lotes o cuando los costos de transferencia entre zonas de disponibilidad deben mantenerse al mínimo. En esos casos, puede deshabilitar este control o suprimir sus resultados.
### Corrección
Para añadir AZs a un grupo de Auto Scaling existente, consulte [Añadir y eliminar zonas de disponibilidad](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*.
## [AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)
**Requisitos relacionados:** NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, NISt.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.6
**Categoría:** Proteger - Configuración de red segura
**Gravedad:** alta
**Tipo de recurso:** `AWS::AutoScaling::LaunchConfiguration`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si IMDSv2 está activado en todas las instancias lanzadas por los grupos de Amazon EC2 Auto Scaling. El control falla si la versión del Instance Metadata Service (IMDS) no está incluida en la configuración de lanzamiento o si está configurada como`token optional`, que es una configuración que permite una IMDSv1 u IMDSv2 otra.
El IMDS brinda datos sobre una instancia que puede utilizar para configurar o administrar la instancia en ejecución.
La versión 2 del IMDS añade nuevas protecciones que no estaban disponibles IMDSv1 para proteger aún más las instancias EC2 .
### Corrección
Un grupo de escalado automático asocia con una configuración de lanzamiento cada vez. No se puede modificar una configuración de lanzamiento después de crearla. Para cambiar la configuración de lanzamiento de un grupo de Auto Scaling, utilice una configuración de lanzamiento existente como base para una nueva configuración de lanzamiento con IMDSv2 Enabled. Para obtener más información, consulta [Configurar las opciones de metadatos de instancia para nuevas instancias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html) en la *Guía del EC2 usuario de Amazon*.
## [AutoScaling.4] La configuración de inicio de grupos de Auto Scaling no debe tener un límite de saltos de respuesta de metadatos superior a 1
**importante**
Security Hub CSPM retiró este control en abril de 2024. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md).
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NISt.800-53.r5 CM-2 (2)
**Categoría:** Proteger - Configuración de red segura
**Gravedad:** alta
**Tipo de recurso:** `AWS::AutoScaling::LaunchConfiguration`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba el número de saltos de red que puede recorrer un token de metadatos. El control falla si el límite de saltos de respuesta de los metadatos es superior a `1`.
El Instance Metadata Service (IMDS) proporciona información de metadatos sobre una EC2 instancia de Amazon y es útil para la configuración de aplicaciones. Restringir la `PUT` respuesta HTTP del servicio de metadatos a solo la EC2 instancia protege al IMDS del uso no autorizado.
El campo Tiempo de vida (TTL) del paquete IP se reduce en uno en cada salto. Esta reducción se puede utilizar para garantizar que el paquete no viaje al exterior EC2. IMDSv2 protege EC2 las instancias que pueden estar mal configuradas como enrutadores abiertos, firewalls de capa 3, VPNs túneles o dispositivos NAT, lo que impide que los usuarios no autorizados recuperen los metadatos. Con IMDSv2, la `PUT` respuesta que contiene el token secreto no puede viajar fuera de la instancia porque el límite de saltos de respuesta de metadatos predeterminado está establecido en. `1` Sin embargo, si este valor es superior a`1`, el token puede salir de la EC2 instancia.
### Corrección
Para modificar el límite de saltos de respuesta de metadatos para una configuración de lanzamiento existente, consulta [Modificar las opciones de metadatos de instancias para instancias existentes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances) en la *Guía del EC2 usuario de Amazon*.
## [AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4
**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente
**Gravedad:** alta
**Tipo de recurso:** `AWS::AutoScaling::LaunchConfiguration`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si la configuración de lanzamiento asociada a un grupo de escalado automático asigna una [dirección IP pública](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses) a las instancias del grupo. El control falla si la configuración de lanzamiento asociada asigna una dirección IP pública.
EC2 Las instancias de Amazon en una configuración de lanzamiento grupal de Auto Scaling no deben tener una dirección IP pública asociada, excepto en casos extremos limitados. Solo se debe poder acceder a las EC2 instancias de Amazon desde detrás de un balanceador de carga, en lugar de estar expuestas directamente a Internet.
### Corrección
Un grupo de escalado automático asocia con una configuración de lanzamiento cada vez. No se puede modificar una configuración de lanzamiento después de crearla. Para cambiar la configuración de lanzamiento de un grupo de escalado automático, utilice una configuración de lanzamiento existente como punto de partida para una nueva configuración de lanzamiento. A continuación, actualice el grupo de escalado automático para utilizar la nueva configuración de lanzamiento. Para step-by-step obtener instrucciones, consulte [Cambiar la configuración de lanzamiento de un grupo de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*. Al crear la nueva configuración de lanzamiento, en **Configuración adicional**, en **Detalles avanzados, tipo de dirección IP**, seleccione **No asignar una dirección IP pública a ninguna instancia**.
Después de cambiar la configuración de lanzamiento, Auto Scaling lanza nuevas instancias con las nuevas opciones de configuración. Las instancias existentes no se ven afectadas. Para actualizar una instancia existente, le recomendamos que actualice su instancia o permita que el escalado automático reemplace gradualmente las instancias más antiguas por instancias más recientes en función de sus políticas de terminación. Para obtener más información sobre la actualización de las instancias de Auto Scaling, consulte [Actualizar instancias de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances) en la *Guía del usuario de Amazon EC2 Auto Scaling*.
## [AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)
**Categoría**: Recuperación > Resiliencia > Alta disponibilidad
**Gravedad:** media
**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si un grupo de Amazon EC2 Auto Scaling utiliza varios tipos de instancias. El control falla si el grupo de escalado automático solo tiene un tipo de instancia definido.
Puede mejorar la disponibilidad si implementa la aplicación en varios tipos de instancia que se ejecutan en varias zonas de disponibilidad. Security Hub CSPM recomienda usar varios tipos de instancias para que el grupo de Auto Scaling pueda lanzar otro tipo de instancia si la capacidad de instancias es insuficiente en las zonas de disponibilidad elegidas.
### Corrección
Para crear un grupo de Auto Scaling con varios tipos de instancias, consulte [Grupos de Auto Scaling con varios tipos de instancias y opciones de compra](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*.
## [AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NISt.800-53.r5 CM-2 (2)
**Categoría**: Identificar > Configuración de recursos
**Gravedad:** media
**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si se ha creado un grupo de Amazon EC2 Auto Scaling a partir de una plantilla de EC2 lanzamiento. Este control falla si no se crea un grupo de Amazon EC2 Auto Scaling con una plantilla de lanzamiento o si no se especifica una plantilla de lanzamiento en una política de instancias mixtas.
Se puede crear un grupo de EC2 Auto Scaling a partir de una plantilla de EC2 lanzamiento o una configuración de lanzamiento. Sin embargo, el uso de una plantilla de lanzamiento para crear un grupo de escalado automático garantiza que tenga acceso a las funciones y mejoras más recientes.
### Corrección
Para crear un grupo de Auto Scaling con una plantilla de EC2 lanzamiento, consulte [Creación de un grupo de Auto Scaling mediante una plantilla de lanzamiento](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*. Para obtener información sobre cómo reemplazar una configuración de lanzamiento por una plantilla de lanzamiento, consulta [Reemplazar una configuración de lanzamiento por una plantilla de lanzamiento](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html) en la *Guía del EC2 usuario de Amazon*.
## [AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`
**AWS Config regla:** `tagged-autoscaling-autoscalinggroup` (regla CSPM de Security Hub personalizada)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado |
Este control comprueba si un grupo de Amazon EC2 Auto Scaling tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el grupo de escalado automático no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el grupo de escalado automático no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.
**nota**
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*
### Corrección
Para añadir etiquetas a un grupo de Auto Scaling, consulte [Etiquetar grupos e instancias de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*.