Controles de Security Hub para Secrets Manager
Estos controles de AWS Security Hub CSPM evalúan el servicio y los recursos de AWS Secrets Manager.
Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
Los secretos de Secrets Manager [SecretsManager.1] deberían tener habilitada la renovación automática
Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3(15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
Categoría: Proteger - Desarrollo seguro
Gravedad: media
Tipo de recurso: AWS::SecretsManager::Secret
AWS Config Regla de: secretsmanager-rotation-enabled-check
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Número máximo de días permitidos para la frecuencia de rotación del secreto |
Entero |
|
Sin valor predeterminado |
Este control comprueba si un secreto almacenado en AWS Secrets Manager está configurado con renovación automática. Se produce un error en el control si el secreto no está configurado con rotación automática. Si proporciona un valor personalizado para el parámetro maximumAllowedRotationFrequency, el control solo pasa si el secreto gira automáticamente dentro del margen de tiempo especificado.
Secrets Manager le ayuda a mejorar la posición de seguridad de la organización. Los secretos incluyen credenciales de base de datos, contraseñas y claves de API de terceros. Puede usar Secrets Manager para almacenar secretos de forma centralizada, cifrarlos automáticamente, controlar el acceso a los secretos y renovar los secretos de forma segura y automática.
Secrets Manager puede renovar secretos. Puede usar la rotación para reemplazar los secretos a largo plazo por secretos a corto plazo. La renovar de sus secretos limita el tiempo que un usuario no autorizado puede usar un secreto comprometido. Por este motivo, debe renovar sus secretos con frecuencia. Para obtener más información sobre la renovación, consulte Cómo renovar sus secretos de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager.
Corrección
Para activar la rotación automática de los secretos de Secrets Manager, consulte Configurar la rotación automática de los secretos de AWS Secrets Manager mediante la consola en la Guía del usuario de AWS Secrets Manager. Debe elegir y configurar una característica de renovación de AWS Lambda.
Los secretos de Secrets Manager [SecretsManager.2] configurados con renovación automática deberían renovarse correctamente
Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3(15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
Categoría: Proteger - Desarrollo seguro
Gravedad: media
Tipo de recurso: AWS::SecretsManager::Secret
AWS Config Regla de: secretsmanager-scheduled-rotation-success-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un secreto de AWS Secrets Manager se ha renovado correctamente en función del programa de rotación. El control tiene errores si RotationOccurringAsScheduled es false. El control solo evalúa los secretos que tienen la renovación activada.
Secrets Manager le ayuda a mejorar la posición de seguridad de la organización. Los secretos incluyen credenciales de base de datos, contraseñas y claves de API de terceros. Puede usar Secrets Manager para almacenar secretos de forma centralizada, cifrarlos automáticamente, controlar el acceso a los secretos y renovar los secretos de forma segura y automática.
Secrets Manager puede renovar secretos. Puede usar la rotación para reemplazar los secretos a largo plazo por secretos a corto plazo. La renovar de sus secretos limita el tiempo que un usuario no autorizado puede usar un secreto comprometido. Por este motivo, debe renovar sus secretos con frecuencia.
Además de configurar los secretos para que giren automáticamente, debe asegurarse de que esos secretos giren correctamente según el programa de renovación.
Para obtener más información sobre la renovación, consulte Cómo renovar sus secretos de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager.
Corrección
Si se produce un error en la renovación automática, es posible que Secrets Manager haya detectado errores en la configuración. La rotación de secretos en requiere el uso de una función de Lambda que defina cómo interactuar con la base de datos o el servicio al que pertenece el secreto.
Para obtener ayuda para diagnosticar y corregir errores comunes relacionados con la renovación de secretos, consulte Solución de problemas de renovación de secretos de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager.
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3(15)
Categoría: Proteger - Administración de acceso seguro
Gravedad: media
Tipo de recurso: AWS::SecretsManager::Secret
AWS Config Regla de: secretsmanager-secret-unused
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Número máximo de días durante el que un secreto puede permanecer sin uso |
Entero |
|
|
Este control comprueba si se accedió a un secreto de AWS Secrets Manager en el periodo especificado. Se produce un error en el control si un secreto no se utiliza más allá del periodo especificado. A menos que se proporcione un valor personalizado de parámetro para el periodo de acceso, Security Hub utiliza un valor predeterminado de 90 días.
Eliminar los secretos no utilizados es tan importante como renovarlos. Los antiguos usuarios pueden abusar de los secretos no utilizados, ya que ya no necesitan acceder a ellos. Además, a medida que más usuarios acceden a un secreto, es posible que alguien lo haya manipulado mal y lo haya filtrado a una entidad no autorizada, lo que aumenta el riesgo de abuso. Eliminar los secretos no utilizados ayuda a revocar el acceso secreto a los usuarios que ya no lo necesitan. También ayuda a reducir el costo de usar Secrets Manager. Por lo tanto, es esencial eliminar de forma rutinaria los secretos no utilizados.
Corrección
Para eliminar los secretos inactivos de Secrets Manager, consulte Eliminar un secreto de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager.
Los secretos de Secrets Manager [SecretsManager.4] deben renovarse en un número específico de días
Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3(15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
Categoría: Proteger - Administración de acceso seguro
Gravedad: media
Tipo de recurso: AWS::SecretsManager::Secret
AWS Config Regla de: secretsmanager-secret-periodic-rotation
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Número máximo de días durante el que un secreto puede permanecer sin cambios |
Entero |
|
|
Este control comprueba si se rota un secreto de AWS Secrets Manager al menos una vez dentro del periodo especificado. Se produce un error en el control si no se rota un secreto al menos con esta frecuencia. A menos que se proporcione un valor personalizado de parámetro para el periodo de rotación, Security Hub utiliza un valor predeterminado de 90 días.
La rotación de los secretos puede ayudarle a reducir el riesgo de que se usen sus secretos sin autorización en su Cuenta de AWS. Los ejemplos incluyen credenciales de base de datos, contraseñas, claves de API de terceros e incluso texto arbitrario. Si no cambia sus secretos durante un largo período de tiempo, los secretos se vuelven más propensos a ser comprometidos.
Ya que hay más usuarios que acceden a un secreto, existen más probabilidades de que alguien haya cometido un error y lo haya filtrado a una entidad no autorizada. Los secretos se pueden filtrar a través de registros y datos de caché. Pueden compartirse con fines de depuración y no pueden cambiarse ni revocarse una vez que se complete la depuración. Por todas estas razones, los secretos deben rotarse con frecuencia.
Puede configurar la renovación automática de los datos secretos en AWS Secrets Manager. Con la rotación automática, puede reemplazar secretos a largo plazo con secretos a corto plazo, lo cual reducirá significativamente el riesgo de peligro. Le sugerimos que configure la rotación automática para sus secretos de Secrets Manager. Para obtener más información, consulte Rotación de sus secretos de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager.
Corrección
Para activar la rotación automática de los secretos de Secrets Manager, consulte Configurar la rotación automática de los secretos de AWS Secrets Manager mediante la consola en la Guía del usuario de AWS Secrets Manager. Debe elegir y configurar una característica de renovación de AWS Lambda.
[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::SecretsManager::Secret
Regla de AWS Config: tagged-secretsmanager-secret (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. |
No default value
|
Este control comprueba si un secreto de AWS Secrets Manager tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control falla si el secreto no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si el secreto no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a un secreto de Secrets Manager, consulte Etiquetar secretos de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager.
