Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles CSPM de Security Hub para CloudFormation
Estos controles CSPM de Security Hub evalúan el AWS CloudFormation servicio y los recursos.
Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte Disponibilidad de los controles por región.
[CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)
importante
Security Hub CSPM retiró este control en abril de 2024. Para obtener más información, consulte Registro de cambios de los controles del CSPM de Security Hub.
Requisitos relacionados: NIST.800-53.r5 SI-4(12), NIST.800-53.r5 SI-4(5)
Categoría: Detectar > Servicios de detección > Supervisión de aplicaciones
Gravedad: baja
Tipo de recurso: AWS::CloudFormation::Stack
Regla de AWS Config: cloudformation-stack-notification-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una notificación de Amazon Simple Notification Service está integrada con una pila de CloudFormation. Se produce un error en el control de una CloudFormation pila si no hay ninguna notificación de SNS asociada a ella.
La configuración de una notificación de SNS con su CloudFormation pila ayuda a notificar inmediatamente a las partes interesadas cualquier evento o cambio que se produzca en la pila.
Corrección
Para integrar una CloudFormation pila y un tema de SNS, consulte Actualización de pilas directamente en la Guía del AWS CloudFormation usuario.
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::CloudFormation::Stack
AWS Configregla: tagged-cloudformation-stack (regla CSPM de Security Hub personalizada)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. | Sin valor predeterminado |
Este control comprueba si una AWS CloudFormation pila tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control lanza error si la pila no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la pila no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetasServicios de AWS, entre ellasAWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a una CloudFormation pila, consulta la referencia CreateStackde la AWS CloudFormationAPI.
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos
Gravedad: media
Tipo de recurso: AWS::CloudFormation::Stack
Regla de AWS Config: cloudformation-termination-protection-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una AWS CloudFormation pila tiene habilitada la protección de terminación. El control falla si la protección de terminación no está habilitada en una CloudFormation pila.
CloudFormation ayuda a gestionar los recursos relacionados como una sola unidad denominada pila. Es posible evitar que una pila se elimine de manera accidental; para ello, habilite la protección de terminación en la pila. Si un usuario intenta eliminar una pila con la protección de terminación habilitada, la eliminación fallará y la pila junto con su estado no cambiarán. Puede configurar la protección de terminación en una pila con cualquier estado excepto DELETE_IN_PROGRESS o DELETE_COMPLETE.
nota
Al habilitar o deshabilitar la protección de terminación en una pila, también se habilita o deshabilita en las pilas anidadas. No se puede habilitar o deshabilitar la protección de terminación directamente en una pila anidada. No puedes eliminar directamente una pila anidada que pertenezca a una pila que tenga habilitada la protección de terminación. Si aparece el texto NESTED junto al nombre de la pila, es una pila anidada. Solo es posible cambiar la protección de terminación de la pila raíz a la que pertenece la pila anidada.
Corrección
Para habilitar la protección de terminación en una CloudFormation pila, consulte Proteger las CloudFormation pilas para que no se eliminen en la Guía del AWS CloudFormationusuario.
[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
Categoría: Detectar > Gestión de acceso seguro
Gravedad: media
Tipo de recurso: AWS::CloudFormation::Stack
Regla de AWS Config: cloudformation-stack-service-role-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una AWS CloudFormation pila tiene asociada una función de servicio. El control falla para una CloudFormation pila si no hay ninguna función de servicio asociada a ella.
El uso de funciones de servicio con CloudFormation pilas ayuda a implementar el acceso con privilegios mínimos al separar los permisos entre el usuario que las creates/updates acumula y los permisos que necesitan CloudFormation los create/update recursos. Esto reduce el riesgo de una escalada de privilegios y ayuda a mantener los límites de seguridad entre las distintas funciones operativas.
nota
No es posible eliminar un rol de servicio asociado a una pila después de crear la pila. Otros usuarios que tengan permisos para realizar operaciones en esta pila podrán usar este rol, sin importar si esos usuarios tienen o no el permiso iam:PassRole. Si el rol incluye permisos que el usuario no debería tener, puede escalar involuntariamente los permisos de un usuario. Asegúrese de que el rol concede privilegios mínimos.
Corrección
Para asociar una función de servicio a una CloudFormation pila, consulte la función CloudFormation de servicio en la Guía del AWS CloudFormation usuario.
