Guía de Seguridad de las TIC

CCN-STIC 887G

Guía de Configuración segura para Monitorización y gestión

AWS

Enero 2023
 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

cpage.mpr.gob.es
Catálogo de Publicaciones de la Administración General del Estado
https://cpage.mpr.gob.es

Edita:
CENTRO CRIPTOLOGICO NACIONAL
cn=CENTRO CRIPTOLOGICO NACIONAL,
2.5.4.97=VATES-S2800155J, ou=CENTRO
CRIPTOLOGICO NACIONAL, o=CENTRO
CRIPTOLOGICO NACIONAL, c=ES
2023.02.14 11:50:31 +01'00'
Pº de la Castellana 109, 28046 Madrid
 Centro Criptológico Nacional, 2023
NIPO: 083-23-069-7

Fecha de Edición: Enero de 2023

Davinci Group ha participado en la realización y modificación del presente documento y sus anexos. Sidertia
Solutions S.L. ha participado en la revisión de esta guía.

LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.

AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o
procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del
mismo mediante alquiler o préstamo públicos.

Centro Criptológico Nacional 2

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

ÍNDICE
1. GUÍA DE CONFIGURACIÓN SEGURA PARA MONITORIZACIÓN Y GESTIÓN AWS ............. 4
1.1 DESCRIPCIÓN DEL USO DE ESTA GUÍA .............................................................................. 4
1.2 DEFINICIÓN DEL SERVICIO ................................................................................................ 4
1.3 SERVICIOS DE MONITORIZACIÓN Y GESTIÓN ................................................................... 5
1.3.1 AWS CLOUDWATCH ..................................................................................................... 5
1.3.2 AWS CLOUDTRAIL ........................................................................................................ 7
1.3.3 AWS CLOUDTRAIL LAKE................................................................................................ 8
1.3.4 AWS CONFIG ................................................................................................................ 8
1.3.5 VPC FLOW LOGS ......................................................................................................... 10
2. CONFIGURACIÓN SEGURA PARA MONITORIZACIÓN Y GESTIÓN .................................. 11
2.1 MARCO OPERACIONAL ................................................................................................... 11
2.1.1 CONTROL DE ACCESO................................................................................................. 11
2.1.2 EXPLOTACIÓN............................................................................................................. 18
2.1.3 MONITORIZACIÓN DEL SISTEMA ............................................................................... 20
2.2 MEDIDAS DE PROTECCIÓN ............................................................................................. 22
2.2.1 PROTECCIÓN DE LA INFORMACIÓN ........................................................................... 22
3. MONITORIZACIÓN DE CONFIGURACIÓN SEGURA ........................................................ 25
3.1 DESCRIPCIÓN DE SERVICIOS DE MONITORIZACIÓN ....................................................... 25
3.1.1 AWS SECURITY HUB ................................................................................................... 27
3.1.2 AWS CONFIG .............................................................................................................. 27
3.1.3 CONFORMANCE PACK ................................................................................................ 28
3.1.4 MULTI-CUENTA .......................................................................................................... 31
3.1.5 PROWLER ................................................................................................................... 32
3.2 SERVICIOS INTEGRADOS DE MONITORIZACIÓN ............................................................. 34
3.2.1 IAM ACCESS ANALYZER .............................................................................................. 34
3.2.2 IAM ACCESS ADVISOR ................................................................................................ 35
3.2.3 NETWORK ACCESS ANALYZER .................................................................................... 37
3.2.4 REACHABILITY ANALYZER ........................................................................................... 38
4. GLOSARIO .................................................................................................................. 40
5. GLOSARIO DE SERVICIOS AWS .................................................................................... 42
6. CUADRO RESUMEN DE MEDIDAS DE SEGURIDAD ........................................................ 43

Centro Criptológico Nacional 3

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

1. GUÍA DE CONFIGURACIÓN SEGURA PARA MONITORIZACIÓN Y GESTIÓN

AWS

1.1 DESCRIPCIÓN DEL USO DE ESTA GUÍA

Esta guía muestra la activación y configuración de los servicios de Amazon Web Services
(AWS) para la monitorización y gestión de las cargas de trabajo en la nube pública de Amazon,
siguiendo las exigencias del Esquema Nacional de Seguridad (ENS).
En la primera parte de esta guía se identifican los servicios de monitorización, supervisión y
gestión que deben configurarse, cumpliendo con las distintas medidas de seguridad que
establece el Esquema Nacional de Seguridad, mientras que en la segunda parte se incluye la
descripción de los servicios y herramientas para la monitorización de configuración segura que
son utilizados por AWS para la gestión y control de sus elementos de configuración, auditoría y
cumplimiento. A su vez, se añaden referencias a la documentación oficial del fabricante con el
objetivo de facilitar la lectura y comprensión por parte del usuario de esta guía.
La securización de los entornos cloud es tan importante como en cualquier otro entorno TI,
pero hay que tener en cuenta que este proceso cuenta con características específicas de un
entorno cloud como AWS. Un entorno cloud facilita la operación y el desarrollo de soluciones e
infraestructuras de manera muy ágil. La automatización y los accesos programáticos abren
opciones de cambios y desarrollo de soluciones TI de manera mucho más ágil que un entorno
tradicional de centro de datos. También la granularidad de accesos y permisos que posibilita
Identity and Access Management (IAM) hace que el número de usuarios que pueden trabajar
en la plataforma de manera concurrente sea casi ilimitado.
Mientras que todo esto posibilita un desarrollo y operación de TI muy ágil, también incluye
el riesgo asociado de la dificultad de que todo este cambio continuo mantenga el entorno
alineado con las pautas de gobierno marcadas por la organización y en este caso por el ENS. Las
capacidades de acceso programático y automatización ofrecidas por AWS han de ser
aprovechadas para cubrir este riesgo implementando mecanismos de monitorización de la
configuración que permitan controlar en tiempo real cualquier desviación del entorno en
cuanto al modelo de gobierno deseado y las exigencias del ENS.
La nomenclatura de algunos servicios o tecnologías descritos se documenta en el glosario de
abreviaturas, incluido como anexo al documento.

1.2 DEFINICIÓN DEL SERVICIO

AWS es un conjunto de servicios complementarios en la nube que permite la creación y
ejecución de una amplia gama de aplicaciones y servicios en un entorno de alta disponibilidad.
AWS brinda servicios funcionales para la monitorización y gestión del rendimiento tanto de
las aplicaciones como de la infraestructura del sistema. Además, permite, a través de los
servicios de monitorización, la recopilación de datos y métricas estableciendo una
comunicación interactiva entre AWS y cualquier otro destino.
En la monitorización y gestión AWS se convierte en una plataforma evolucionada basada en
un conjunto de herramientas, que permite la proactividad en la gestión de la infraestructura.
No solo se trata de mecanismos que recopilan datos y métricas para elaborar tendencias,

Centro Criptológico Nacional 4

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

patrones y estadísticas, sino que permite la interacción mediante las alertas que automatizan
acciones correctivas.
El conjunto de herramientas de monitorización y gestión permite una clasificación general
de sus funciones en los distintos ámbitos en los que operan. Así pues, dentro de la
monitorización y gestión de alertas se puede encontrar la recopilación de métricas, la definición
de canales de notificación y la personalización de las alertas adaptadas a las necesidades de la
infraestructura.
Por otro lado, en el ámbito de la gestión de logs se puede encontrar la recopilación de logs
de sistema, auditoría y logs personalizados que definen las alertas.
A la hora de gestionar los datos y las métricas, existen herramientas de monitorización y
gestión que permite la elaboración de estadísticas y tendencias que detectan anomalías y
patrones mediante un panel de control centralizado.

1.3 SERVICIOS DE MONITORIZACIÓN Y GESTIÓN

A continuación, se describen los principales servicios de AWS asociados a las tareas de
monitorización y gestión de eventos. En caso de estar familiarizado con estos servicios y sus
conceptos puede continuar directamente con la sección 1.4.

1.3.1 AWS CLOUDWATCH

Amazon CloudWatch es un repositorio de métricas en tiempo real del uso de los recursos y
rendimiento de las aplicaciones y el estado operativo de todo el sistema de AWS. Un servicio
de AWS, como Amazon EC2, pone las métricas en el repositorio del que es posible obtener
estadísticas en función de dichas métricas. Con métricas personalizadas en el repositorio es
posible recuperar estadísticas sobre estas métricas también.
Es posible crear alarmas para la vigilancia de las métricas y el envío de notificaciones o
realizar cambios automáticamente en los recursos que se están monitoreando cuando se
infringe un umbral. Por ejemplo, es posible monitorear el uso de la CPU y las lecturas y
escrituras de disco de las instancias de Amazon EC2 y, a continuación, utilizar esos datos para
determinar si se deben lanzar instancias adicionales para gestionar el aumento de la carga.
También es posible utilizar estos datos para parar las distintas instancias infrautilizadas a fin de
ahorrar dinero.
Las métricas pueden ser utilizadas para calcular estadísticas y presentar los resultados
gráficamente en la consola de CloudWatch. También es posible configurar las acciones sobre
cada alarma configurada por ejemplo para detener, comenzar o terminar una instancia de
Amazon EC2, cuando se cumplen determinados criterios, o como acciones de Amazon SNS
(Simple Notification Service), en su nombre.

Centro Criptológico Nacional 5

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Fig. 1 Descripción gráfica de la arquitectura de CloudWatch

Los recursos de informática en la nube se alojan en centros de datos de alta disponibilidad,

los cuales proporcionan más escalabilidad y fiabilidad, estando estos centros de datos en
distintas zonas geográficas específicas las que conocemos como región. Cada región está
totalmente aislada de las demás regiones para lograr la mayor estabilidad y aislamiento en caso
de error.
Las métricas de AWS CloudWatch se almacenan por separado en las regiones, pero es posible
utilizar la funcionalidad para diversas regiones para agregar estadísticas de diferentes Regiones.
Puede consultarse más información sobre el servicio de CloudWatch en el siguiente enlace:
https://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/monitoring/cloudwatch_
architecture.html
Es posible utilizar Amazon CloudWatch Syntetics para la creación de Canaries, que son scripts
configurables escritos en Node.js o en Python que se ejecutan según sean programados, y son
utilizados para monitorizar los Endpoints (puntos de enlace final que responden a una petición
de alguna instancia) y las API.
El uso de Canaries siguen las mismas rutas y realizan las mismas acciones que un cliente, lo
que permite verificar continuamente la experiencia del cliente, incluso cuando no existe tráfico
de clientes en las aplicaciones, de esta manera es posible descubrir problemas antes que los
clientes lo hagan.
Los Canaries comprueban la disponibilidad y latencia de sus endpoints, y pueden almacenar
datos de tiempo de carga y capturas de pantalla de la interfaz de usuario. Estos monitorean las
API REST, las URL y el contenido del sitio web, y pueden comprobar si hay cambios no
autorizados de suplantación de identidad, inyección de código y scripts entre sitios.

Centro Criptológico Nacional 6

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Puede consultarse más información sobre el servicio de CloudWatch Syntetics en el siguiente

enlace:
https://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/monitoring/CloudWatch
_Synthetics_Canaries.html

1.3.2 AWS CLOUDTRAIL

AWS CloudTrail es un servicio que ayuda habilitar el gobierno, la conformidad y la auditoría

de operaciones y riesgo de las cuentas de AWS. Proporciona un registro de las acciones de los
usuarios, los roles o un servicio de AWS, que se registran como eventos en CloudTrail. CloudTrail
captura las llamadas a la API que se realizaron desde su cuenta AWS o en su nombre. Las
llamadas capturadas incluyen las llamadas realizadas desde la consola y llamadas de código a
las operaciones de la API. Amazon CloudWatch y CloudWatch Synthetics están integrados a
CloudTrail.
Al crear un seguimiento, es posible habilitar la entrega continua de eventos de CloudTrail a
un bucket de Amazon S3, incluyendo los eventos de CloudWatch. Si no se configura un registro
de seguimiento, es posible ver los eventos más recientes en el Historial de Eventos de la consola
de CloudTrail. Mediante la información que CloudTrail recopila, se puede determinar la petición
que fue enviada a CloudWatch, la dirección IP desde la que se ha realizado la petición, quién la
realizó, cuando se realizó y otros detalles adicionales.
Dentro de los aspectos clave de seguridad y prácticas recomendadas operativas se encuentra
la visibilidad de la actividad de la cuenta de AWS, y para esto se puede utilizar AWS CloudTrail,
para ver, buscar, descargar, archivar, analizar y responder a la actividad de la cuenta en la
infraestructura. Es posible identificar quién o qué tuvo que actuar, sobre que recursos se actuó,
cuando se produjo el evento y otros detalles que ayudan a analizar y responder a una actividad
en la cuenta de AWS.
Es posible crear dos tipos de registros de seguimiento para una cuenta de AWS:
 Un registro de seguimiento aplicable a todas las regiones
CloudTrail registra los eventos de cada región y envía los archivos de registros de
eventos de CloudTrail al bucket de Amazon S3 que se configure. Si se añade una
región después de crear un registro de seguimiento que se aplica a todas las regiones,
la nueva región se incluye automáticamente, y también se registran sus eventos.
 Un registro de seguimiento aplicable a una región
En este caso CloudTrail solo registra los eventos de esa región, los cuales son
entregados al bucket de Amazon S3 que se especifique. Solo puede crear un registro
de seguimiento de una sola región. El resto de los registros de seguimiento
individuales adicionales, se pueden enviar al mismo bucket de Amazon S3 o a buckets
separados.
Puede consultarse más información sobre el servicio de CloudTrail en el siguiente enlace:
https://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/cloudtrail-user-
guide.html

Centro Criptológico Nacional 7

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

1.3.3 AWS CLOUDTRAIL LAKE

AWS CloudTrail Lake permite ejecutar consultas basadas en SQL sobre los eventos. Estos
eventos se agregan en almacenes de datos de eventos, que son colecciones inmutables de
eventos basados en criterios que se seleccionan aplicando sectores de eventos avanzados. Es
posible conservar los datos de los eventos en un almacén de eventos hasta 7 años de forma
predeterminada. Los selectores que se aplican a un almacén de datos de eventos controlan los
eventos que perduran y están disponibles para la consulta.
Estas consultas ofrecen una visión más detallada y personalizable de los eventos que las
simples búsquedas de claves y valores en el Historial de eventos, o ejecutando LookupEvents.
Las búsquedas en el Historial de eventos están limitadas a una sola cuenta de AWS, solo
devuelve eventos de una única región no puede consultar múltiples atributos. Con AWS
CloudTrail Lake, se puede ejecutar consultas complejas en SQL en múltiples campos de
búsqueda, y realizar búsquedas en todas las regiones simultáneamente.
Puede consultarse más información del servicio AWS CloudTrail Lake en el siguiente enlace:
https://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/cloudtrail-lake.html

1.3.4 AWS CONFIG

AWS Config proporciona una vista detallada de la configuración de los recursos de AWS. Esto
incluye cómo se relacionan los recursos entre sí y cómo se han configurado en el pasado, de
esta manera es posible ver cómo las configuraciones y las relaciones cambian a lo largo del
tiempo.
Un AWS resource es una entidad con la que se puede trabajar en AWS, como en una instancia
de EC2 (Amazon Elastic Compute Cloud), un volumen EBS (Elastic Block Store), grupo de
seguridad o Amazon VPC (Virtual Private Cloud).
Puede consultarse la lista completa de recursos de AWS admitidos por AWS Config en el
siguiente enlace:
https://docs.aws.amazon.com/es_es/config/latest/developerguide/resource-config-
reference.html
En AWS Config, se tienen las siguientes opciones:
 Evaluar las configuraciones de recursos de AWS para los ajustes que desee.
 Obtener una instantánea de las configuraciones actuales de los recursos admitidos
que están asociados a su cuenta de AWS.
 Recuperar configuraciones de uno o más recursos existentes en la cuenta.
 Recuperar configuraciones históricas de uno o más recursos.
 Recibir una notificación cuando se crea, se modifica o se elimina un recurso.
 Ver las relaciones entre los recursos. Por ejemplo, es posible que desee encontrar
todos los recursos que utilizan un grupo de seguridad determinado.

Centro Criptológico Nacional 8

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Fig. 2 Funcionamiento AWS Config

Cuando las aplicaciones en AWS son ejecutadas, sus recursos que son utilizados se deben
crear y administrar colectivamente, surgiendo la necesidad de un seguir sus recursos a medida
que aumenta la demanda de su aplicación, por lo que AWS Config, se ha diseñado para ayudar
a supervisar dichos recursos de la aplicación desde las siguientes perspectivas:

1.3.4.1 ADMINISTRACION DE RECURSOS

Es posible utilizar las reglas de AWS Config para evaluar los ajustes de configuración de los
recursos de AWS. Cuando AWS Config detecta que un recurso infringe las condiciones en una
de las reglas, AWS Config marca el recurso como no conforme y envía una notificación, de esta
manera puede ser utilizado para que se notifique en los eventos de creación, modificación o
eliminación de recursos sin tener que supervisar estos cambios sondeando las llamadas
realizadas a cada recurso.
De esta manera se ejerce un mejor control de las configuraciones de los recursos y se puede
detectar configuraciones erróneas en los mismos brindando una visibilidad minuciosa sobre los
recursos existentes.

1.3.4.2 ADMINISTRACIÓN Y RESOLUCIÓN DE PROBLEMAS DE CAMBIOS DE

CONFIGURACIÓN

AWS Config es esencial para identificar y evaluar el impacto de un cambio al momento de

modificar un recurso, o en su configuración, evitando tener consecuencias imprevistas en los
recursos relacionados.
Cuantos más recursos de AWS dependen unos de otros, es mayor la necesidad de
autogestión, también utilizando las configuraciones históricas de los recursos, pudiendo de esta
manera solucionar problemas y acceder a la última configuración correcta conocida de un
recurso que esté fallando.
Puede consultarse más información sobre el servicio de AWS Config en el siguiente enlace:
https://docs.aws.amazon.com/es_es/config/latest/developerguide/WhatIsConfig.html

Centro Criptológico Nacional 9

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

1.3.5 VPC FLOW LOGS

El servicio de VPC Flow Logs permite capturar información acerca del tráfico IP que entra y
sale de los interfaces de red en la VPC, red o instancia. Los datos del registro de estos flujos de
red pueden publicarse en Amazon CloudWatch Logs o Amazon S3. Una vez creado un log de
flujo, es posible recuperarlo y ver los datos en el destino elegido.
Los logs de flujo son útiles en una serie de tareas, tales como:
 Diagnosticar reglas de grupo de seguridad muy restrictivas
 Monitorizar el tráfico que llega a su instancia
 Determinar la dirección del tráfico hacia y desde las interfaces de red
Los datos de registro de flujo se recopilan fuera de la ruta del tráfico de red y, por lo tanto,
no afectan al rendimiento ni a la latencia de la red. Se pueden crear o eliminar registros de flujo
sin ningún riesgo de impacto en el rendimiento de la red. Esta funcionalidad se incluye como
control de cumplimiento para la medida Detección de intrusión descrita en la siguiente sección
de esta guía
En el siguiente ejemplo observamos el registro (fl-aaa) que captura el tráfico aceptado para
la interfaz de la instancia A1 y publica las entradas de registro de flujo en un bucket de Amazon
S3. Se observa una segunda entrada de registro de flujo que captura todo el tráfico de la subred
B que publica las entradas de un registro de flujo en Amazon CloudWatch Logs en el flujo (fl-
bbb).

Fig. 3 Captura de tráfico con AWS Flow Log

Un registro de AWS Flow Log representa un flujo de red en la VPC. Predeterminadamente,

cada registro captura un flujo de tráfico del protocolo de internet (IP) de red, que tiene lugar
dentro de un período de captura o intervalo de agregación. Los registros de AWS Flow Logs se
pueden trabajar desde las consolas de Amazon EC2, Amazon VPC, ClowdWatch y Amazon S3.

Puede consultarse más información sobre el servicio VPC Flow Logs en el siguiente enlace:
https://docs.aws.amazon.com/es_es/es_es/vpc/latest/userguide/flow-logs.html

Centro Criptológico Nacional 10

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

2. CONFIGURACIÓN SEGURA PARA MONITORIZACIÓN Y GESTIÓN

Las medidas de seguridad se dividen en tres grupos, Marco organizativo, Marco Operacional
y Medidas de Protección del Esquema Nacional de Seguridad. En los siguientes puntos, se
detallan los grupos Marco operacional y Medidas de protección con las medidas que aplican en
la Categoría Alta del ENS.

2.1 MARCO OPERACIONAL

Este grupo está formado por las medidas a tomar para proteger la operación del sistema
como un conjunto integral de componentes para un fin. Para lograr el cumplimiento de los
principios básicos y requisitos mínimos establecidos, se aplicarán las medidas de seguridad
indicadas en este anexo, las cuales serán proporcionales a las dimensiones de seguridad
relevantes en el sistema a proteger y la categoría del sistema de información a proteger.
Se considera, en este sentido, que la organización ha dispuesto todos aquellos mecanismos
de control físico necesarios, con objeto de evitar el acceso a la nube existentes por parte de
personal no autorizado.

2.1.1 CONTROL DE ACCESO

El conjunto de medidas que establece el Control de acceso cubre todas las acciones que, bien
preparatorias o ejecutivas, están orientadas a determinar qué o quién puede o no acceder a un
recurso del sistema mediante una determinada acción. Con el cumplimiento de todas las
medidas, se garantizará que nadie accederá a recursos sin la debida autorización.
Adicionalmente, se establecerá la necesidad de que el uso del sistema quede registrado para
detectar y reaccionar ante una incidencia de seguridad o fallo del sistema pudiendo configurarlo
en Amazon mediante el AWS IAM (Identity and Access Management).
AWS IAM es un servicio web que ayuda a controlar de forma segura el acceso a los recursos
de AWS, con él es posible controlar quien está autenticado (ha iniciado sesión) y autorizado
(tiene permisos) para utilizar los recursos.
A continuación, se enumeran las siguientes medidas de seguridad basadas en el control de
acceso.

2.1.1.1 IDENTIFICACIÓN

Esta medida especifica los mecanismos que garantizan la autenticidad y trazabilidad de las
diferentes entidades. Esto genera una identificación singular para cada organización, usuario,
proceso o servicio. De esta manera, se conocerá quién recibe qué derechos sobre los recursos
y quién ha hecho el qué sobre los mismos.
Para el uso de los servicios de monitorización y gestión de AWS, es necesario la creación de
cuentas de usuario, grupos y políticas definidas para el control de acceso a los recursos del
sistema, a través del servicio AWS IAM, creando permisos personalizados a usuarios específicos
y accediendo de la siguiente manera:
 Solo para primer acceso: credenciales de usuario root
Al crear una cuenta de AWS, se crea una identidad de usuario root de la cuenta de
AWS con la que se puede iniciar sesión en AWS Management Console, es decir

Centro Criptológico Nacional 11

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

utilizando la dirección de correo electrónico y la contraseña que se utilizó para crear

la cuenta. Esta combinación de dirección de correo electrónico y contraseña es la que
se denomina credenciales de usuario root.
 Usuarios IAM
En lugar de compartir las credenciales del usuario root con otras personas, es posible
crear usuarios de IAM individuales dentro de la cuenta de AWS. Cada usuario puede
tener su propia contraseña para obtener acceso a AWS Management Console.
También puede tener una clave de acceso individual para cada usuario, de modo que
un usuario puede realizar solicitudes programadas para trabajar con recursos de la
cuenta.
Se recomienda la creación de un usuario de IAM con permisos administrativos para
la propia cuenta del administrador y no utilizar las credenciales del usuario root.

Fig. 4 Usuarios con sus propias credenciales en una cuenta AWS

 Federación de usuarios ya existentes

Se pueden federar las identidades de usuarios en AWS cuando ya se tiene una forma
de autenticarse en la organización, y es especialmente útil en los siguientes casos:
o Los usuarios ya disponen de identidades en un directorio corporativo
o Los usuarios ya disponen de identidades de internet

Fig. 5 Federación de usuarios existentes

Centro Criptológico Nacional 12

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

En la guía CCN-STIC 887A Guía de configuración segura AWS, se amplía la información sobre
la identificación para el control de acceso a través de los roles IAM, y de las exigencias del
Esquema nacional de Seguridad.
Puede consultarse más información sobre administración de usuarios en el siguiente enlace:
https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/introduction_identity-
management.html

2.1.1.2 REQUISITOS DE ACCESO

AWS implementa el control de acceso a los recursos en la nube a través del servicio AWS
IAM, cumpliendo con el principio de mínimo privilegio al no asignar por defecto, ninguna cuenta
de usuario a ningún grupo.
Los requisitos de acceso se aplican atendiendo a la necesidad de proteger los recursos del
sistema mediante mecanismos que impidan y dificulten su uso, salvo a aquellas entidades que
disfruten de los derechos de acceso suficientes.
Los derechos de acceso permiten el uso de los recursos del sistema y deben ser controlados
y gestionados por el responsable del recurso, atendiendo, siempre, a la política y normativa de
seguridad de la organización, que debe, a su vez, atender con el principio del mínimo privilegio.
AWS dispone, para la gestión de control de acceso, distintos tipos de recursos soportados en
cada servicio disponibles en el servicio de AWS IAM. Cada tipo de recurso soporta, a su vez,
variables generales que agregan condiciones a una política específica asignada a los usuarios en
particular o grupos.
Cada recurso de AWS es propiedad de una Cuenta de AWS y los permisos para crear u
obtener acceso a un recurso se rigen por las políticas de permisos. Los administradores de
cuentas pueden asociar políticas de permisos a identidades de IAM con el fin de proteger los
datos, las credenciales de cuenta de AWS y configuración de cuentas de usuario individuales. El
ENS para categoría alta exige de igual manera proteger los datos de las siguientes formas:
 Utilizar Multi-Factor Authentication (MFA) con cada cuenta.
 Utilizar SSL/TLS para comunicación con los recursos de AWS. Recomendando
específicamente TLS 1.2 o superior.
 Configurar la API y el registro de actividad del usuario con AWS CloudTrail.
 Utilizar las soluciones de cifrado de AWS, junto con todos los controles de seguridad
predeterminados dentro de los servicios de AWS.
 Utilizar servicios avanzados de seguridad administrados que ayuden a detectar y
proteger los datos personales almacenados en Amazon S3, como Amazon Macie.
 Todas las configuraciones de acceso deben regirse por el principio de mínimo
privilegio.
A continuación, se detallarán los requisitos de acceso de los servicios de monitorización y
gestión de AWS:
 Permisos necesarios para utilizar la consola de CloudWatch

Centro Criptológico Nacional 13

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Para poder trabajar con la consola de CloudWatch, cada usuario debe tener un
conjunto mínimo de permisos que le permitan describir otros recursos de AWS en las
cuentas. La consola CloudWatch requiere permisos de los siguientes servicios:
o Amazon EC2 Auto Scaling1
o CloudTrail
o CloudWatch
o CloudWatch Events
o CloudWatch Logs
o Amazon EC2
o Servicio de OpenSearch
o IAM
o Kinesis
o Lambda
o Simple Storage Service (Amazon S3)
o Amazon SNS
o Amazon SQS
o Amazon SWF
o X-Ray, si se utiliza la característica de ServiceLens
Al crear una política de IAM, que sea más restrictiva que el mínimo de permisos
necesarios, la consola no funcionará en el modo esperado para los usuarios con esa
política.

Fig. 6 Ejemplo de una política de permisos de CloudWatch

Para conocer el conjunto completo de permisos necesarios para trabajar con la

consola de CloudWatch consulte el siguiente enlace:
https://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/monitoring/iam
-identity-based-access-control-cw.html

1
Desde diciembre 2022, deja de ser compatible con las nuevas características de EC2

Centro Criptológico Nacional 14

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

 Permisos de administración de AWS Config

Para permitir que los usuarios administren AWS Config, se deben conceder permisos
de manera explícita a los usuarios de IAM para realizar las acciones necesarias
asociadas. Para la mayoría de las situaciones, se puede hacer a través de una política
administrada de AWS que tenga los permisos predefinidos.
o Creación de un grupo de IAM y usuarios para acceso a AWS Config
o Concesión de permiso de acceso total para el acceso a AWS Config

Fig. 7 Ejemplo de una política de confianza para roles de AWS Config

Puede consultarse más información de los permisos de administración de AWS

Config en el siguiente enlace:
https://docs.aws.amazon.com/es_es/config/latest/developerguide/grant-
permissions-for-config-administration.html
 Permisos necesarios para acceder a CloudTrail
AWS CloudTrail se integra con AWS Identity and Access Management (IAM) y de
esta manera permite controlar el acceso a CloudTrail y a otros recursos de AWS que
solicita CloudTrail, incluidos los buckets de Amazon S3 y los temas de Amazon Simple
Notification Service (Amazon SNS). Se pueden utilizar AWS Identity and Access
Management para controlar qué usuarios de AWS pueden crear, configurar o
eliminar registros de seguimiento de AWS CloudTrail, comenzar y detener el registro
y tener acceso a los buckets que contienen información de registro.
o Políticas basadas en identidad de CloudTrail
Con las políticas basadas en identidad de IAM, se pueden especificar las
acciones y recursos permitidos o denegados, así como las condiciones en las
que se permiten o deniegan las acciones. CloudTrail admite acciones y
recursos específicos. No hay claves de condición específicas del servicio de
CloudTrail que se puedan utilizar en el elemento Condition de las
instrucciones de la política.

Centro Criptológico Nacional 15

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Las acciones de políticas de CloudTrail utilizan el siguiente prefijo antes de

la acción: cloudtrail: Por ejemplo, para conceder a alguien permiso para crear
una lista de las etiquetas de un registro de seguimiento con la operación
ListTags de la API, hay que incluir la acción cloudtrail:ListTags en la política.

Fig. 8 Ejemplo de una política de CloudTrail

o Listas de control de acceso

Las listas de control de acceso (ACL) son listas de beneficiarios que se
pueden adjuntar a los recursos. Conceden a las cuentas permisos de acceso
al recurso al que están adjuntadas. Aunque CloudTrail no admite las ACL,
Amazon S3 sí. Por ejemplo, es posible adjuntar las ACL a un recurso de bucket
de Amazon S3 en el que se almacenan los archivos de registros de uno o varios
registros de seguimiento.
En general AWS recomienda el uso de políticas de S3 para la protección de
acceso a este recurso, pero el uso de ACLs sigue siendo válido en los entornos
que todavía lo emplean.
Para obtener más información sobre cómo adjuntar las ACL a los buckets,
consulte el siguiente enlace.
https://docs.aws.amazon.com/es_es/AmazonS3/latest/userguide/acl-
overview.html
o Roles de IAM de CloudTrail
Con la entidad de la cuenta IAM, se dispone de permisos específicos los cuales
pueden ser gestionados a través de uso de credenciales temporales con
CloudTrail, roles vinculados a servicios o roles de servicio.
La política de permisos del rol permite que CloudTrail realice las siguientes
acciones en los recursos especificados:
o Acción: All, en todos los recursos de CloudTrail.
o Acción: organizations:DescribeAccount, en todos los recursos de AWS
Organizations.
o Acción: organizations:DescribeOrganizations, en todos los recursos de AWS
Organizations.
o Acción: organizations:ListAccounts, en todos los recursos de AWS
Organizations.
o Acción: organizations:ListAWSServiceAccessForOrganization, en todos los
recursos de AWS Organizations.

Centro Criptológico Nacional 16

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Puede consultar más información sobre la seguridad de CloudTrail en el siguiente

enlace:
https://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/security_ia
m_service-with-iam.html
 Permisos de control del uso de registros de VPC Flow Logs
De forma predeterminada, los usuarios de IAM no tienen permiso para trabajar
con registros de flujo. Se puede crear una política de usuarios de IAM que conceda
permisos a los usuarios para crear, describir y eliminar registros de flujo.

Fig. 9 Ejemplo de una política de permisos completos para crear, describir y eliminar.

Puede consultar más información sobre la configuración de VPC Flow Logs en el

siguiente enlace:
https://docs.aws.amazon.com/es_es/vpc/latest/userguide/working-with-flow-
logs.html

2.1.1.3 SEGREGACIÓN DE FUNCIONES Y TAREAS

La segregación de funciones y tareas que establece el ENS se basa en definir y aplicar un

control de acceso de forma que se exija la concurrencia de dos o más personas para realizar
tareas críticas, evitando la posibilidad de abusar de los derechos de un usuario autorizado para
cometer alguna acción ilícita.
AWS dispone de un control de acceso basado en roles (RBAC) que puede gestionarse
mediante el servicio de AWS IAM, proporcionando a los administradores el control necesario
sobre el acceso de los usuarios a los recursos de monitorización y gestión y las acciones que
puedan realizar sobre estos recursos.

2.1.1.4 PROCESO DE GESTIÓN DE DERECHOS DE ACCESO

El proceso de gestión de derechos de acceso a los servicios de monitorización y gestión de

AWS deben ser limitados, atendiendo siempre a los principios marcados por el ENS como el
mínimo privilegio, necesidad de conocer y capacidad de autorizar.
El principio de mínimo privilegio indica la necesidad de reducir al mínimo los privilegios de
cada usuario para el cumplimiento de sus obligaciones. Además, debe existir la necesidad de
conocer para la asignación de los privilegios, de manera que la información pueda quedar

Centro Criptológico Nacional 17

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

compartimentada y accesible solamente si existe dicha necesidad. Por último, solamente el

personal con capacidad de autorizar podrá conceder, alterar o anular la autorización de acceso
a los recursos de monitorización y gestión desde el servicio de AWS IAM.

2.1.2 EXPLOTACIÓN

Se incluyen en este apartado, todas aquellas medidas designadas como parte de la

explotación de los servicios. El ENS define a través de ellas, una serie de procesos tanto para el
control como para la gestión que deberán llevarse a cabo por parte de las entidades.
Las medidas atienden a diferentes tareas que deberán ser llevadas a la práctica por el
departamento de TI.

2.1.2.1 REGISTRO DE LA ACTIVIDAD DE LOS USUARIOS

El ENS establece en esta medida que deben registrarse todas las actividades del usuario
realizadas en el sistema, de manera que pueda guardarse la información correspondiente a los
siguientes puntos:
 El registro indicará quién realiza la actividad, cuándo ha sido realizada y sobre qué
información se ha realizado dicha actividad.
 Aquellas actividades realizadas por los usuarios, especialmente los operadores y
administradores del sistema en el momento en que pueden acceder a la configuración y
realizan acciones de mantenimiento en el sistema.
 Deberán registrarse tanto las actividades realizadas con éxito como los intentos
fracasados.
 La determinación de las actividades y el nivel de detalle se determinarán en base al
análisis de riesgos realizado sobre el sistema.
Para tener un registro completo de accesos válidos e intentos fallidos existe el servicio de AWS
CloudTrail.

CloudTrail es un servicio de AWS que ayuda a habilitar la gestión, el cumplimiento, el

funcionamiento y el análisis de operaciones y riesgo de la cuenta de AWS. Las medidas que
adopta un usuario, la función o un servicio de AWS se registran como eventos en CloudTrail.
Los eventos incluyen las acciones llevadas a cabo en la Consola de administración de AWS y
AWS Command Line Interface, así como las aplicaciones, los SDK y los accesos federados de
AWS.

 CloudTrail está habilitado por defecto cuando se crea una nueva cuenta, pero es posible
deshabilitar por lo que se debe asegurar que esté activo y para todas las regiones [c.a.
op.acc.7.aws.ia].
Para más información sobre AWS CloudTrail puede consultar la guía del usuario:
https://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/cloudtrail-user-
guide.html

Centro Criptológico Nacional 18

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

2.1.2.2 PROTECCIÓN DE LOS REGISTROS DE ACTIVIDAD

El ENS establece la implementación de mecanismos orientados a la protección de los

registros de actividad. Estas medidas deben determinar el periodo de retención de los registros,
asegurando la fecha y la hora, permitiendo el mantenimiento de los registros sin alteración ni
eliminación por parte del personal no autorizado.
La validación del archivo de registro de AWS CloudTrail crea un archivo de resumen firmado
digitalmente que contiene un hash de cada registro que AWS CloudTrail escribe en Amazon S3.
Estos archivos de resumen se pueden usar para determinar si un archivo de registro se cambió,
eliminó o no cambió después de que CloudTrail entregó el registro.
 Se deberá habilitar la validación de archivos en todos los trails de AWS CloudTrail.
[op.exp.10.aws.trail.1]
En consonancia con las medidas de requisitos de acceso y mecanismos de autenticación
detallados en la sección 3.1.1 Control de Acceso de la guía STIC 887A deberá protegerse
adecuadamente el acceso a la información de actividad registrada. CloudTrail utiliza de forma
predeterminada el cifrado del servidor (SSE) S3 para cifrar los archivos de registro. Además, se
recomienda que los buckets de Amazon S3 para AWS CloudTrail se configuren con MFA Delete,
esto evitará la eliminación de registros de AWS CloudTrail sin una autorización explícita.
También se recomienda utilizar una política de bucket que imponga restricciones sobre cuáles
de los usuarios de administración de acceso a la identidad (IAM) pueden eliminar objetos de
Amazon S3.
Se deberá activar acceso por MFA al registro de actividad. [op.exp.10.aws.trail.2]
 El almacén de logs de AWS CloudTrail no deberá ser accesible de forma pública.
[op.exp.10.aws.trail.3] [op.exp.10.aws.trail.4]
Los registros de AWS CloudTrail se pueden configurar para aprovechar el cifrado del lado del
servidor (SSE) y las claves maestras creadas por el cliente (CMK) de KMS para proteger aún más
los registros de AWS CloudTrail.
 Se deberán cifrar los registros de AWS CloudTrail con SSE-KMS [op.exp.10.aws.trail.5]

2.1.2.3 CONFIGURACIÓN INICIAL DE MONITORIZACIÓN

2.1.2.3.1 AWS CLOUDWATCH

Para utilizar Amazon CloudWatch, se necesita una cuenta de AWS. Su cuenta de AWS le
permite utilizar servicios (por ejemplo, Amazon EC2) para generar métricas que se pueden
visualizar en la consola de CloudWatch, una interfaz de selección y activación basada en la web.
Además, puede instalar y configurar la interfaz de línea de comandos (CLI) de AWS.
 Configuración inicial
o Registrarse en AWS
o Iniciar sesión en la consola de Amazon CloudWatch
o Configuración de Amazon CLI

Centro Criptológico Nacional 19

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Para obtener información detallada de la configuración inicial consulte el siguiente

enlace:
https://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/monitoring/Gettin
gSetup.html
 Creación de un panel CloudWatch
o Crear un panel con la consola
o Creación y uso de un panel para diversas cuentas y regiones.
 Creación de un panel para cuentas y regiones cruzadas
 Creación de un gráfico con métricas de diferentes cuentas
 Creación y operación de widgets en paneles de CloudWatch
 Compartir paneles
 Uso de datos en directo
Para obtener más información de la creación y configuración de paneles consulte el
siguiente enlace:
https://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/monitoring/Cloud
Watch_Dashboards.html

2.1.3 MONITORIZACIÓN DEL SISTEMA

Según el ENS, los sistemas deben estar sujetos a medidas de monitorización de su actividad.
El sistema de monitorización debe disponer de herramientas de detección o de prevención de
intrusión, así como poder recopilar los datos necesarios atendiendo a la categoría del sistema
para conocer el grado de implantación de las medidas de seguridad que apliquen, de las
detalladas en el Anexo II y, en su caso, para proveer el informe anual requerido por el artículo
35 del RD 3/2010, de 8 de enero, por el que se regula el ENS.

2.1.3.1 SISTEMA DE MÉTRICAS

El ENS establece para la categoría alta la recopilación de los datos necesarios atendiendo a
la categoría del sistema, para conocer el grado de implantación de las medidas de seguridad
que apliquen y proveer el informe anual requerido. También es necesario la recopilación de los
datos para valorar el sistema de incidentes, permitiendo conocer el número de incidentes, así
como el tiempo en cerrar el 50% y el 90% de los mismos.
A su vez, se recopilarán datos para conocer la eficiencia del sistema de seguridad TIC, en
cuanto a los recursos consumidos por horas y presupuesto.
Para ello, AWS dispone de varias herramientas para la recopilación de datos para el
cumplimiento de la norma, permitiendo supervisar de forma activa y pasiva los recursos de la
nube mediante las funciones de métricas, alarmas, registros y eventos.
Finalmente, es fundamental la gestión de los permisos para el control de los recursos en
AWS, evitando el acceso indeseado a las herramientas de monitorización y gestión que detallan
la actividad del sistema y su salud mediante la recopilación continua de datos y métricas.

Centro Criptológico Nacional 20

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

2.1.3.1.1 RECOPILACIÓN DE MÉTRICAS Y GESTIÓN DE ALERTAS

2.1.3.1.2 ANÁLISIS DE MÉTRICAS

AWS basa la mayor parte de las funcionalidades de monitorización en los servicios de AWS
CloudTrail y Amazon CloudWatch. Las medidas que adopta un usuario, la función o un servicio
de AWS se registran como eventos en CloudTrail.
Es importante entender en el ámbito de la monitorización el servicio de VPC Flow Logs. Los
datos de una interfaz de red monitoreada se registran como registros de logs de flujo, que son
eventos que se componen de una serie de campos que describen el flujo del tráfico.
Las métricas son los datos sobre el desempeño de los sistemas. De forma predeterminada,
diversos servicios ofrecen métricas gratuitas para recursos (tales como las instancias de Amazon
EC2, los volúmenes de Amazon EBS y las instancias de base de datos de Amazon RDS). También
se puede habilitar la monitorización detallado para algunos recursos, como las instancias de
Amazon EC2, o publicar las métricas de las aplicaciones que se utilizan. Amazon CloudWatch
puede cargar todas las métricas en la cuenta (tanto las métricas de los recursos AWS como las
métricas de las aplicaciones que proporcionen) para búsquedas, representación de gráficos y
para alarmas.
 Muchos servicios AWS ofrecen supervisión básica publicando un conjunto
predeterminado de métricas en CloudWatch sin cargo para los clientes. De forma
predeterminada, cuando se empieza a utilizar uno de estos Servicios de AWS, se
habilita automáticamente la supervisión básica.
Es posible pasar a la pantalla del panel de varios servicios e interactuar con los
paneles de todos los servicios de AWS que está utilizando. La consola de CloudWatch
muestra los paneles en orden alfabético, además de una o dos métricas clave en cada
panel.
Para obtener una lista de los servicios que ofrecen supervisión básica y su
documentación, puede consultarse el siguiente enlace:
https://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/monitoring/aws-
services-cloudwatch-metrics.html
 Solo algunos servicios ofrecen una supervisión detallada. También incurre en cargos.
Para utilizarlo para un servicio AWS, se debe seleccionar para activarlo. Para obtener
más información acerca de los precios, puede consultarse el siguiente enlace:
https://aws.amazon.com/es/cloudwatch/pricing/
El explorador de métricas es una herramienta basada en etiquetas que permite filtrar,
agregar y visualizar las métricas por etiquetas y propiedades de recurso para mejorar la
visualización de los servicios. Esto proporciona una experiencia de solución de problemas
flexible y dinámica, de modo que es posible crear varios gráficos a la vez y ser utilizados para
crear paneles con el resto de las aplicaciones.
Los datos de las métricas se guardan durante 15 meses, lo que permite ver datos actualizados
y datos históricos
Para representar métricas en la consola, se puede utilizar CloudWatch Metrics Insights, un
potente motor de consultas SQL de alto rendimiento para identificar tendencias y patrones
dentro de los resultados todas las métricas en tiempo real.

Centro Criptológico Nacional 21

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Es posible consultar más información acerca del uso y sintaxis de Cloud Metrics Insigths en
el siguiente enlace:
https://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/monitoring/query_with_c
loudwatch-metrics-insights.html

2.2 MEDIDAS DE PROTECCIÓN

Este grupo de medidas cubre el espectro de aplicación de mecanismos más amplios en
cuanto a dimensión. No obstante, debe tenerse en consideración que incluye una gran variedad
de estas y que son aplicables desde las más puramente procedimentales, a las puramente físicas
o a las de aplicación técnica.
Solo éstas últimas se tendrán en consideración para su implementación en la presente guía
y de ellas solo un número limitado es de aplicación sobre las funcionalidades de la nube.
Se considera, en este sentido, que la organización ha dispuesto todos aquellos mecanismos
de control físico necesarios, con objeto de evitar el acceso a la nube existentes por parte de
personal no autorizado.

2.2.1 PROTECCIÓN DE LA INFORMACIÓN

Este conjunto de medidas trata todo lo relacionado con la protección de la información,

desde lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, acerca de los datos
personales, así como las distintas dimensiones que alcanzan cada uno de los aspectos
relacionados con la información, su clasificación, accesos, responsables, tratamiento,
almacenamiento, limpieza o destrucción, cuando ésta ya no sea necesaria.
Siendo uno de los activos más valiosos para cualquier organización, la información debe
protegerse para garantizar la confidencialidad, disponibilidad e integridad de los datos. Para
ello, la información debe ser clasificada e identificada para la aplicación de las medidas
necesarias y adecuadas para su preservación. Sin embargo, la mayoría de estas medidas
presentan un carácter más organizativo y procedimental, aunque también existen medidas de
carácter técnico para permitir la comprobación de dimensiones como la autenticidad de la
procedencia y la integridad de la información.
El Esquema Nacional de Seguridad exige para la categoría ALTA un correcto cifrado de la
información tanto su almacenamiento como durante su transmisión.
El cifrado de la información en los soportes de almacenamiento de AWS está principalmente
cubierto por el servicio de AWS KMS (Key Management Service). Para todas aquellas instancias
dedicadas a monitorización y que almacenen información de monitorización, así como para los
repositorios de S3 dedicados a este objetivo será necesario la implementación de las siguientes
medidas de seguridad:
El almacenamiento de las instancias (máquinas virtuales) deberá estar cifrado en todos sus
volúmenes de almacenamiento. [mp.info.3.aws.ebs.1]
El siguiente documento describe el proceso de cifrado de volúmenes EBS (Elastic Block
Store), así como el procedimiento a seguir en caso de tener volúmenes existentes sin cifrar:
https://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/EBSEncryption.html#encr
yption-parameters

Centro Criptológico Nacional 22

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Para asegurar el punto anterior se recomienda dejar activada la opción de cifrado por
defecto para nuevos volúmenes [mp.info.3.aws.ebs.2]
El siguiente documento describe el proceso para activar esta opción:
https://aws.amazon.com/es/premiumsupport/knowledge-center/ebs-automatic-
encryption/?nc1=h_ls
Los volúmenes de almacenamiento EBS permiten la creación de snapshots, los cuales son
copias de seguridad incrementales, lo que significa que sólo se guardan los bloques que han
cambiado en el dispositivo después de la copia más reciente. Esto disminuye el tiempo
necesario para crearlo y ahorra costos de almacenamiento, ya que no se duplican los datos.
Cada snapshot contiene toda la información necesaria para restaurar los datos (del momento
en que se tomó) en un volumen de EBS nuevo.
Cuando se crea un volumen EBS basado en un snapshot, el nuevo volumen comienza como
una réplica exacta del volumen original utilizado para crear la imagen. El volumen replicado
carga los datos en segundo plano para que pueda comenzar a utilizarlo inmediatamente. Si
tiene acceso a datos que aún no se han cargado, el volumen descarga inmediatamente los datos
solicitados de Amazon S3 y después continúa cargando el resto de los datos del volumen en
segundo plano. Para obtener más información, consulte el siguiente documento de AWS:
https://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/EBSSnapshots.html
Debido al funcionamiento descrito de los snapshots de EBS:
 Se deberá asegurar el cifrado de las copias de seguridad (snapshots) de EBS
[mp.info.3.aws.ebs.3]
Para corregir el correcto cifrado de volúmenes y copias de seguridad que no fueran creadas
desde el origen con el cifrado activado pueden consultarse las siguientes guías para su
remediación.
 Para volúmenes EBS:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html
 Para snapshots
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSSnapshots.html
El servicio de almacenamiento AWS S3 (Simple Storage Service) está diseñado para facilitar
a los desarrolladores recursos de computación escalables. Puede conocer más detalles sobre
S3 en la documentación de Amazon:
https://docs.aws.amazon.com/es_es/AmazonS3/latest/dev/Welcome.html

2.2.1.1 CIFRADO

Dado que la protección de datos de monitorización depende en buena medida de

protecciones de cifrado se desarrollan a continuación los principales aspectos para la gestión
del cifrado en AWS.
Para la correcta protección de las claves criptográficas durante todo su ciclo de vida, tal y
como exige el Esquema Nacional de Seguridad AWS, cuenta con su servicio AWS KMS (AWS Key
Management Service). Con AWS KMS deberá definirse un enfoque de cifrado que incluya el
almacenamiento, la rotación y el control de acceso de las claves para proporcionar la protección

Centro Criptológico Nacional 23

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

necesaria al contenido frente a aquellos usuarios no autorizados y a la exposición innecesaria a

usuarios autorizados.
AWS KMS (Key Management Service) es un servicio administrado que facilita la creación y el
control claves maestras de cliente CMKs (Customer Managed Keys), las claves de cifrado
utilizadas para cifrar los datos. Los AWS KMS CMKs están protegidos por módulos de seguridad
de hardware (HSM - Hardware Security Module) validados por el Programa de validación del
módulo criptográfico FIPS 140-2.
AWS KMS está integrado con la mayoría de los servicios de AWS que cifran los datos. AWS
KMS también está integrado con AWS CloudTrail para registrar el uso de CMKs para las
necesidades de auditoría, normativas y cumplimiento.
KMS facilita la creación y administración de claves maestras de cliente (CMKs):
 Editar y visualizar CMKs.
 Habilitar y deshabilitar CMKs.
 Crear, editar y ver políticas de claves y derechos para su CMKs.
 Habilitar y deshabilitar rotación automática del material criptográfico en un CMK
 Etiquetar los CMKs para la identificación, la automatización y el seguimiento de
costes.
 Crear, eliminar, enumerar y actualizar alias, que son nombres fáciles de recordar para
tu CMKs.
 Eliminar CMKs para completar el ciclo de vida de la clave.
Es posible utilizar las CMKs en operaciones criptográficas:
 Cifrar, descifrar y volver a cifrar datos con CMKs.
 Firmar y verificar mensajes con CMKs asimétricos.
 Generar claves de datos simétricas exportables y pares de claves de datos
asimétricos.
 Generar números aleatorios adecuados para las aplicaciones de cifrado.
Puede utilizar las características avanzadas de AWS KMS:
Importar material criptográfico en un CMK.
 Usar CMKs en su propio almacén de claves personalizado respaldado por un AWS
Cloud HSM.
 Conectarse directamente a AWS KMS través de un punto de enlace privado en su
VPC.
Se deberá auditar el uso de las claves de cifrado: para poder comprender y auditar el uso de
las claves de cifrado y así validar que los mecanismos de control de acceso de las claves se
implementen de forma adecuada [op.exp.11.aws.kms.1]
Las CMKs están habilitadas de forma predeterminada. Si deshabilita una CMK o el programa
para su eliminación, se vuelve inutilizable y no se puede usar para cifrar o descifrar datos.

Centro Criptológico Nacional 24

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Se deberán eliminar todas las claves administradas por el cliente (CMK) de KMS que no se
pueden utilizar para garantizar un proceso de administración de claves adecuado y reducir la
factura mensual de AWS. [op.exp.11.aws.kms.2]
AWS Key Management Service permite a los clientes rotar la clave de respaldo, que es el
material clave almacenado dentro del KMS que está vinculado al ID de clave de la clave maestra
del cliente creado por el cliente (CMK). Es la clave de respaldo que se utiliza para realizar
operaciones criptográficas como cifrado y descifrado.
La rotación de claves automatizada retiene todas las claves de respaldo anteriores para que
el descifrado de los datos cifrados se pueda realizar de forma transparente. La rotación de
claves de cifrado ayuda a reducir el impacto potencial de una clave comprometida, ya que no
se puede acceder a los datos cifrados con una nueva clave por medio de una clave anterior que
puede haber estado expuesta.
La rotación de las CMKs creadas por el cliente deberá estar activada [op.exp.11.aws.kms.3]
Para la selección de los tipos de clave y su tamaño, se debe cumplir con los requisitos
especificados en la guía CCN-STIC-807 Criptología de Empleo en el Esquema Nacional de
Seguridad. Por este motivo, para sistemas de información categorizados como ENS Alto no se
permite la utilización de tamaños de clave RSA-2048, ya que presentan una fortaleza
criptológica de 112 bits, menor que los 128 exigidos.
Para más información sobre el servicio de KMS, su activación y la definición de los requisitos
mencionados para esta medida puede consultarse el siguiente documento:
https://docs.aws.amazon.com/es_es/kms/index.html
Es recomendable familiarizarse con el concepto de política de claves (key policy), tal y como
se describe en el siguiente documento:
https://docs.aws.amazon.com/es_es/kms/latest/developerguide/key-policies.html

3. MONITORIZACIÓN DE CONFIGURACIÓN SEGURA

3.1 DESCRIPCIÓN DE SERVICIOS DE MONITORIZACIÓN

Antes de presentar los servicios de monitorización para la configuración segura, es
importante dar a conocer algunas buenas prácticas para establecer los parámetros adecuados
tanto operativos como de gestión dentro de las políticas y lineamientos de la organización a
través de los servicios y cuentas de AWS. Como parte de ello Amazon presenta un marco de
trabajo AWS Well-Architected Framework (WAF), que a través de sus seis pilares brindan una
correcta y adecuada gobernanza de los ambientes y servicios de AWS.

Centro Criptológico Nacional 25

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Fig. 10 Los seis pilares WAF como soporte para una correcta gobernanza de los servicios AWS

AWS Well-Architected Framework describe los conceptos clave, los principios de diseño y las
prácticas recomendadas de arquitectura para diseñar y ejecutar cargas de trabajo en la nube.
En la monitorización de configuración segura, el enfoque es el pilar de la seguridad, que se
concentra en proteger la información de los sistemas, incluyendo la confidencialidad y la
integridad de los datos, la administración de permisos de usuarios y el establecimiento de
controles para detectar eventos de seguridad.
Los servicios que se tratarán en esta sección se basan en el pilar de la seguridad que está
compuesta por cinco áreas:
 Identity and Access Management (IAM)
 Detección
 Protección de la infraestructura
 Protección de los datos
 Respuesta de incidentes
A fin de operar la carga de trabajo de forma segura, debe aplicar prácticas recomendadas
generales en todas las áreas de la seguridad. Se deben tomar los requisitos y los procesos que
se han definido en la excelencia operativa a nivel de la organización y la carga de trabajo y deben
ser aplicados en todas las áreas. Se deben mantener las recomendaciones del sector y de AWS
y la inteligencia de amenazas para facilitar la evolución del modelo de amenazas y los objetivos
de control.
A continuación, se describen una serie de recomendaciones a tomar en cuenta en el
establecimiento de la monitorización de la configuración segura previo a implementarlas.
 Identificar y priorizar riesgos mediante un modelo de amenazas
 Identificar y validar los objetivos de control
 Mantenerse al día con las amenazas de seguridad
 Mantenerse al día con las recomendaciones de seguridad
 Evaluar e implementar características de servicios de seguridad regularmente

Centro Criptológico Nacional 26

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

 Automatizar las pruebas y validación de los controles de seguridad en todos los

canales
Para conocer más sobre el pilar de seguridad de WAF consulte el siguiente enlace:
https://docs.aws.amazon.com/es_es/wellarchitected/latest/security-pillar/welcome.html

3.1.1 AWS SECURITY HUB

AWS Security Hub proporciona una visión completa del estado de seguridad en AWS, y ayuda
a contrastar el entorno con los estándares y las prácticas recomendadas del sector de la
seguridad.
Security Hub recopila datos de seguridad de todas las cuentas de AWS, de los servicios y de
los productos de terceros que son compatibles con AWS y ayuda a analizar las tendencias y
comportamientos de seguridad, identificando de esta manera, los problemas de seguridad que
tengan mayor prioridad.

Fig. 11 Arquitectura de la solución de respuesta y resolución de problemas automatizadas de AWS Security

Hub

Se puede encontrar más información sobre el uso de Security Hub y su integración con las
recomendaciones del ENS en la guía STIC 887B.

3.1.2 AWS CONFIG

3.1.2.1 AUDITORÍA Y CONFORMIDAD

AWS Config proporciona la información de las configuraciones históricas para poder

demostrar y garantizar la conformidad de las políticas internas para los datos que requieren
auditoría, se puede monitorear constantemente y registrar los cambios de configuración de sus
recursos de AWS.

Centro Criptológico Nacional 27

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Fig. 12 Funcionamiento AWS config

3.1.2.2 ANÁLISIS DE SEGURIDAD

Para analizar posibles deficiencias de seguridad, es necesaria la información histórica

detallada sobre las configuraciones de AWS Config de los recursos, tales como AWS IAM
(Identity and Access Management) que se otorgan a los usuarios, o las reglas de grupo de
seguridad de Amazon EC2 que controlan el acceso a los recursos.
Es posible usar AWS Config para verificar las políticas de IAM que se han asignado a un
usuario, grupo o rol de IAM en cualquier momento en el que AWS Config estaba grabando. Esta
información puede ayudarle a determinar los permisos que pertenecían a un usuario en un
momento específico.
También es posible utilizar AWS Config para ver la configuración de los grupos de seguridad
de EC2, incluidas las reglas de puertos que estaban abiertas en un momento concreto. Esta
información puede ayudar a determinar si un grupo de seguridad ha bloqueado el tráfico
entrante de TCP a un puerto específico.

3.1.3 CONFORMANCE PACK

Un Conformace Pack (Paquete de conformidad) es un conjunto de reglas y acciones de

corrección de AWS Config que se implementa como una entidad en una cuenta y una región o
en toda una organización. La implementación de estos paquetes de conformidad se realiza a
través de plantillas YAML que contienen las reglas administradas o personalizadas y las acciones
de corrección de AWS Config, que son ejecutadas utilizando la consola de AWS Config o la AWS
CLI.
AWS desarrolla y mantiene Conformance Packs para las diferentes categorías del Esquema
Nacional de seguridad:
 Nivel alto:
https://docs.aws.amazon.com/config/latest/developerguide/operational-best-
practices-for-ens_high.html

Centro Criptológico Nacional 28

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

 Nivel medio:
https://docs.aws.amazon.com/config/latest/developerguide/operational-best-
practices-for-ens-medium.html
 Nivel bajo:
https://docs.aws.amazon.com/config/latest/developerguide/operational-best-
practices-for-ens-low.html
Previo a desplegar un paquete de conformidad es necesaria la activación de AWS Config
Recording.

3.1.3.1 REQUISITOS PREVIOS PARA UTILIZAR UN PAQUETE DE CONFORMIDAD CON

CORRECCIÓN

Antes de implementar paquetes de conformidad utilizando plantillas de ejemplo con

corrección, se deben crear los recursos adecuados, como el rol de automatización y otros
recursos de AWS basados en el objetivo de corrección, si ya tenemos un rol de automatización
que se está utilizando para la corrección con documentos SSM (Systems Manager), es posible
proporcionar directamente el ARN (Amazon Resources Name) de ese rol. Si se tiene algún
recurso, es posible incluirlo en la plantilla.
AWS Config no admite las funciones intrínsecas de AWS CloudFormation con el rol de
ejecución de automatización. Se debe proporcionar el ARN exacto del rol en forma de cadena.
Para obtener más información acerca de cómo pasar el ARN exacto puede consultarse el
siguiente enlace:
https://docs.aws.amazon.com/es_es/config/latest/developerguide/conformancepack-
sample-templates.html

3.1.3.2 REQUISITOS PREVIOS PARA UTILIZAR UN PAQUETE DE CONFORMIDAD CON UNA

O VARIAS REGLAS DE AWS CONFIG

Antes de implementar un paquete de conformidad con una o varias reglas de AWS Config
personalizadas, es necesario crear los recursos adecuados, como la función de AWS Lambda y
el rol de ejecución correspondiente.
Si ya se cuenta con una regla de AWS Config personalizada, es posible proporcionar
directamente el ARN de la función de AWS Lambda para crear otra instancia de esa regla
personalizada como parte del paquete, pero si no se dispone de una regla AWS Config
personalizada, se puede crear una función AWS Lambda y utilizar el ARN de la función de
Lambda.
Para obtener más información acerca de Reglas personalizadas de AWS Config puede
consultarse el siguiente enlace:
https://docs.aws.amazon.com/es_es/config/latest/developerguide/evaluate-
config_develop-rules.html

Centro Criptológico Nacional 29

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

3.1.3.3 REQUISITOS PREVIOS DE LOS PAQUETES DE CONFORMIDAD DE LA

ORGANIZACIÓN

Si la plantilla de entrada tiene una configuración de corrección automática, es necesario

especificar el ARN del rol de ejecución de automatización de esa corrección en la plantilla.
Comprobar que existe un rol con el nombre especificado en todas las cuentas (cuenta maestra
y cuentas miembro) de una organización. Se debe crear este rol en todas las cuentas antes de
llamar a la API PutOrganizationConformancePack. Se puede crear este rol en cada cuenta
manualmente o utilizando los conjuntos de pilas de AWS CloudFormation.
Si la plantilla utiliza la función intrínseca Fn::ImportValue de AWS CloudFormation para
importar una determinada variable, esa variable debe definirse como Export Value en todas las
cuentas miembro de esa organización.

3.1.3.4 COMPROBACIONES DE PROCESOS EN UN PAQUETE DE CONFORMIDAD

Las comprobaciones de proceso son un tipo de regla de AWS Config que permite realizar un
seguimiento de las tareas externas e internas que requieren verificación como parte de los
paquetes de conformidad. Estas comprobaciones se pueden agregar a un paquete de
conformidad existente o a uno nuevo. Es posible realizar un seguimiento de todo el
cumplimiento que incluye las configuraciones de AWS y comprobaciones manuales en una
única ubicación.
Con las comprobaciones de procesos, se puede enumerar el cumplimiento de los requisitos
y las acciones en una única ubicación. Estas comprobaciones de procesos ayudan a aumentar
la cobertura de los paquetes de conformidad basados en regímenes de cumplimiento. Se puede
ampliar aún más el paquete de conformidad añadiendo nuevas comprobaciones de procesos
que rastrean los procesos y las acciones que requieren verificación y seguimiento manuales.
Esto permite que el paquete de conformidad se convierta en la plantilla que proporciona
detalles sobre las configuraciones de AWS y de procesos manuales para un régimen de
cumplimiento.

Fig. 13 Ejemplo de plantilla de paquete de conformidad para crear comprobaciones de procesos

Se realiza un seguimiento y administra el cumplimiento de los procesos no asociados con los

cambios de configuración de recursos dentro de los paquetes de conformidad como
comprobaciones de procesos. Por ejemplo, agregar una comprobación del proceso para realizar
un seguimiento del requisito de cumplimiento de PCI-DSS para almacenar copias de seguridad
de medios en una ubicación fuera del sitio. Evaluará manualmente el cumplimiento de esto, de

Centro Criptológico Nacional 30

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

acuerdo con las directrices de PCI-DSS (Payment Card Industry – Data Security Standard) o de
acuerdo con las directrices de su organización.
Para obtener más información de las comprobaciones de procesos en un paquete de
conformidad de AWS Config, puede consultarse el siguiente enlace:
https://docs.aws.amazon.com/es_es/config/latest/developerguide/process-checks.html

3.1.4 MULTI-CUENTA

Al adoptar el uso de AWS, es recomendable determinar los requerimientos del negocio,

gobierno, seguridad y operación. El uso de múltiples cuentas en AWS juega un papel muy
importante en el desarrollo de estos requerimientos.
El uso de múltiples cuentas permite obtener de una serie de beneficios, tales como:
 Cargas de trabajo grupales basadas en el propósito comercial y propiedad
 Aplicación de distintos controles de seguridad por entorno
 Restringir el acceso a datos sensibles
 Promover la innovación y agilidad
 Limitar el alcance del impacto por eventos adversos
 Soportar múltiples modelos operativos de tecnología

Fig. 14 Ejemplos de modelos operativos de TI

 Administrar los costos

 Distribuir las cuotas del servicio de AWS y limitar la tasa de solicitudes a la API
En AWS, existen una serie de servicios que están disponibles para la administración y
organización para la estrategia de múltiples cuentas que nos permiten tener una visión y control
más adecuados y de fácil acceso, desde un solo punto de administración, a todos los usuarios
que accederán a una o varias cuentas de AWS dentro de la organización como AWS
Organizations, AWS VPN, AWS Control Tower, AWS SSO y AWS Resource Access Manager. La
Guía CCN-STIC 887D Guía de configuración segura Multi-Cuenta AWS incluye todas las
exigencias de configuración en entornos multi-cuenta para cumplir los requisitos del ENS.

Centro Criptológico Nacional 31

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

3.1.5 PROWLER

Prowler es una herramienta de software libre que se puede integrar con AWS que ayuda en
la evaluación de la seguridad, auditoría, reducción de vulnerabilidades y respuesta a incidentes.
Prowler proporciona una gran cantidad de elementos de configuración de seguridad
relacionados a los servicios de AWS e información sobre una serie de recursos que no están
cubiertos por las integraciones existentes con Security Hub o los estándares de cumplimiento.
Prowler soporta una integración oficial y nativa con AWS Security Hub, importando sus
hallazgos. De esta manera, desde un mismo lugar se puede agregar, organizar y priorizar las
alertas de seguridad de múltiples servicios de AWS.

Fig. 15 Security Hub con Prowler habilitado por cuenta y por región

Para conocer cómo se despliega y configura Prowler en AWS puede consultarse la guía CCN-
STIC 887B Guía rápida de Prowler.

En el ámbito de la monitorización de la configuración de Prowler de manera segura, es

necesario tomar en cuenta algunas políticas para evitar algún fallo de seguridad y así obtener
un mejor control de su configuración.

 Políticas de IAM administradas por AWS

IAM define una serie de políticas basadas en la seguridad de las cuentas de AWS que
permite su control de acceso y monitorización, en este caso, para el correcto control
y acceso de las cuentas monitorizadas por Prowler. Debemos asegurarnos de que el
usuario cuente con permisos de ViewOnlyAcess y SecurityAudit.

Centro Criptológico Nacional 32

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

 Política de IAM personalizada

Algunas comprobaciones nuevas y específicas requieren que Prowler herede más
permisos que SecurityAudit y ViewOnlyAcess para funcionar correctamente. Además
de estas políticas administradas por AWS, es posible que se tenga que otorgar una
política personalizada de usuario/rol para las comprobaciones con algunos permisos
de solo lectura más, por ejemplo, la política “Prowler-Additions-Policy”

Fig. 16 Ejemplo de la política de arranque para configurar Prowler-Additions-Policy

 Bootstrap Script
A través de la consola es posible configurar la seguridad de Prowler, agrupando los
permisos requeridos al usuario de IAM, con SecurityAudit y ViewOnlyAccess,
incluyendo la política de Prowler-Additions-Policy.

Fig. 17 Configuración de AWS_DEFAULT_PROFILE con un Bootstrap Script

Para conocer más acerca de la integración de Prowler con AWS Security Hub, puede
consultar el siguiente enlace de la documentación oficial en inglés:
https://github.com/prowler-cloud/prowler#security-hub-integration

Centro Criptológico Nacional 33

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

3.2 SERVICIOS INTEGRADOS DE MONITORIZACIÓN

Para la gestión de la monitorización de la configuración segura, incluiremos servicios
integrados a otros servicios que nos ayudan a gestionar de una manera más segura, tanto las
cuentas pertenecientes a una región o varias regiones como a los usuarios con los accesos
necesarios para poder realizar la monitorización.

3.2.1 IAM ACCESS ANALYZER

AWS IAM Access Analyzer proporciona las herramientas necesarias para identificar los
recursos de la organización y todas las cuentas, como buckets de Amazon S3 o roles de IAM,
que se comparten con una entidad externa. Esto permite identificar el acceso no deseado a los
recursos y datos, lo que constituye un riesgo para la seguridad. Access Analyzer identifica los
recursos compartidos con entidades principales externas mediante el uso de un razonamiento
lógico para analizar las políticas basadas en recursos en el entorno de AWS.
Cuando se habilita Access Analyzer, se crea un analizador para toda la organización o una
cuenta. La organización o cuenta que se elija se conoce como la zona de confianza del
analizador. El analizador monitoriza todos los recursos admitidos dentro de esa zona de
confianza. Cualquier acceso a los recursos por parte de entidades principales que se encuentren
dentro de su zona de confianza se considera de confianza.
Al analizar las políticas, si Access Analyzer identifica una que concede acceso a una entidad
principal externa que no está dentro de la zona de confianza, genera un hallazgo. Cada hallazgo
incluye detalles sobre el recurso, la entidad externa que tiene acceso al mismo y los permisos
concedidos para que se puedan tomar las medidas adecuadas.
Access Analyzer analiza solo las políticas que se aplican a los recursos de la misma región de
AWS en la que está habilitada. Para monitorear todos los recursos del entorno de AWS, se debe
crear un analizador para habilitar Access Analyzer en cada región en la que se utilicen los
recursos de AWS admitidos. Access Analyzer analiza los siguientes tipos de recursos:
 Buckets de Amazon Simple Storage Service Batch
 Roles de AWS Identity and Access Management
 Llaves AWS Key Management Service
 Funciones y capas de AWS Lambda
 Colas de Amazon Simple Queue Service
 Secretos de AWS Secrets Manager
Para configurar AWS IAM Access Analyzer, se puede agregar una cuenta de miembro a la
organización como administrador delegado para administrar Access Analyzer en su
organización. Este administrador tiene permisos para crear y administrar analizadores con la
organización como confianza. Solo la cuenta de administración puede agregar un administrador
delegado.
Para conocer más sobre la configuración de IAM Access Analyzer puede consultar el
siguiente enlace:
https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/access-analyzer-settings.html

Centro Criptológico Nacional 34

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

3.2.2 IAM
ACCESS ADVISOR

En la administración de AWS se puede conceder permisos a entidades (usuarios o roles) más

allá de lo que requieren. IAM proporciona información sobre los últimos accesos, lo que puede
ayudar a identificar los permisos que no se han utilizado para eliminarlos. Se puede utilizar la
información sobre los accesos recientes para perfeccionar las políticas y limitar el acceso
exclusivamente a los servicios y acciones que las entidades utilizan. Esto puede ayudar a cumplir
mejor las prácticas recomendadas del principio de privilegios mínimos.
 Tipos de información para IAM sobre los últimos accesos
Cuando se consulte la información sobre los últimos accesos, se podrá encontrar dos
tipos de información en las entidades de IAM: información sobre los servicios de AWS
permitidos e información sobre las acciones permitidas. Esta información incluye la
fecha y la hora en que se realizó el intento. La información de última acción a la que
se accede está disponible para las acciones de administración de Amazon EC2, IAM,
Lambda y Amazon S3. que incluyen acciones de creación, eliminación y modificación.
Se puede conocer más sobre la información de acceso reciente de IAM en el siguiente
enlace:
https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/access_policies_access
-advisor-view-data.html
 Información de acceso reciente de AWS Organizations
Si se inicia sesión con las credenciales de la cuenta de administración, se podrá ver
información sobre los últimos accesos a servicios de una política o entidad de AWS
Organizations de la organización. Las entidades de AWS Organizations pueden ser
cuentas, unidades organizativas o la raíz de la organización. En la información de
acceso reciente de AWS Organizations, se incluyen los servicios permitidos por una
política de control de servicios (SCP). Se indica qué entidades principales de una
organización o cuenta intentaron acceder por última vez al servicio y cuándo lo
hicieron.
Para conocer más sobre la información de último acceso de Organizations consultar
el siguiente enlace:
https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/access_policies_access
-advisor-view-data-orgs.html
 ¿Que debemos saber sobre la información de acceso reciente?
Antes de usar los datos de un informe sobre los últimos accesos para cambiar los
permisos de una entidad de IAM o de Organizations, hay que revisar la siguiente
información.
o Período de seguimiento
o Intentos informados
o PassRole
o Información de acceso reciente

Centro Criptológico Nacional 35

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

o Propietario del informe

o Entidades IAM
o Tipos de políticas IAM
o Tipos de políticas de Organizations
o Especificación de un ID de política
o Cuenta de gestión de Organizations
o Configuración de Organizations
 Permisos necesarios
Si se desea utilizar la consola de IAM para ver la información de acceso reciente
de un usuario, rol o política de IAM, se debe contar con una política que incluya las
siguientes acciones:
o iam:GenerateServiceLastAccessedDetails
o iam:Get*
o iam:List*
Estos permisos permiten a un usuario ver lo siguiente:
o Qué usuarios, grupos o roles están asociados a una política administrada
o A qué servicios puede acceder un usuario o rol
o La última vez que se accedió al servicio
o La última vez que intentaron usar una acción específica de Amazon EC2, IAM,
Lambda, o Amazon S3
Para poder ver la información de acceso reciente de IAM con AWS CLI o la API de
AWS, debe contar con los permisos adecuados sobre la operación que se desee
utilizar:
o iam:GenerateServiceLastAccessedDetails
o iam:GetServiceLastAccessedDetails
o iam:GetServiceLastAccessedDetailsWithEntities
o iam:ListPoliciesGrantingServiceAccess
Este ejemplo muestra cómo se podría crear una política de IAM que permita ver la
información de último acceso de IAM. Además, permite acceso de solo lectura a
todas las partes de IAM. Esta política define los permisos para el acceso programático
y a la consola.

Centro Criptológico Nacional 36

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Es posible ver la información de acceso reciente de IAM con AWS Management Console,
AWS CLI o la API de AWS. La información del último acceso incluye información sobre algunas
acciones a las que se accedió por última vez para Amazon EC2, IAM, Lambda y Amazon S3.
Para conocer más sobre IAM Access Advisor puede consultar el siguiente enlace:
https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/access_policies_access-
advisor.html

3.2.3 NETWORK ACCESS ANALYZER

Network Access Analyzer, es una característica que identifica el acceso a la red no atendido
para los recursos en AWS. Se puede utilizar para especificar los requisitos de acceso a la red e
identificarlas posibles rutas que no cumplan dichos requisitos. Es posible especificar los
requisitos de acceso a la red como el alcance del acceso a la red, lo que determina los tipos de
hallazgos que el análisis produce. Es posible agregar entradas a MatchPaths como a ExcludePats
para incluir o excluir los tipos de rutas de la red respectivamente.
 MatchPaths
En esta sección se definen los valores especificados de los campos para las rutas de
red que resultan de un análisis. Estos son utilizados para especificar las rutas de red
que se consideren una violación a la seguridad o el cumplimiento de requisitos.
 ExcludePaths
Aquí se incluyen todos los valores especificados para prevenir que ciertas las rutas de
red aparezcan en los hallazgos. Esta sección se emplea para especificar las rutas de
red que sean consideradas una excepción legítima a la seguridad de red o requisitos
de cumplimiento.

Centro Criptológico Nacional 37

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Fig. 18 Ejemplo de configuración de un origen para incluir y excluir elementos de red

3.2.4 REACHABILITY ANALYZER

VPC Reachability Analyzer es una herramienta de análisis de configuración que permite

realizar pruebas de conectividad entre un recurso origen y un recurso destino en las VPC.
Cuando el destino es alcanzable, Reachability Analyzer produce un detalle de la traza de los
saltos de la red virtual entre el origen y el destino. Cuando el destino no es alcanzable,
Reachability Analyzer identifica el componente que lo bloquea. Por ejemplo, caminos que son
bloqueados por problemas de configuración en un grupo de seguridad, ACL de red, tabla de
ruta o balanceador de carga.

Es posible utilizar Reachability Analyzer para determinar, ya sea si un recurso destino es

alcanzable en una VPC desde un recurso origen. Para iniciar se especifica un origen y un destino.
Si tiene una traza alcanzable entre el origen y el destino, Reachability Analyzer despliega los
detalles, de otra manera, identifica el componente bloqueante. Las tareas que se deben realizar
son las siguientes:
 Antes de empezar
 Paso 1: Crear y analizar una traza
 Paso 2: Observar los resultados del análisis de la traza
 Paso 3: Cambiar la configuración de red y analizar la traza

Centro Criptológico Nacional 38

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Fig. 19 Traza desde una instancia EC2 hasta un gateway de internet

Para conocer las tareas a ejecutar para configurar Reachability Analyzer, se puede consultar
el siguiente enlace:
https://docs.aws.amazon.com/es_es/vpc/latest/reachability/getting-started.html

Centro Criptológico Nacional 39

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

4. GLOSARIO
A continuación de describen una serie de términos, acrónimos y abreviaturas en materia de
seguridad utilizados en esta guía.

Término Definición

Es una puerta de enlace de directorio con la que puede redirigir

AD Connector solicitudes del directorio a Microsoft Active Directory local sin
almacenar en caché la información que hay en la nube.
Es un servicio completamente administrado y seguro de creación de
Amazon WorkDocs
contenido, almacenamiento y colaboración.
Es una plataforma de software libre para configurar y administrar
Ansible
ordenadores.

ENS Esquema Nacional de Seguridad.

También conocido como Microsoft Active Directory (AD)
administrado en AWS, permite que las cargas de trabajo de
Directory Service
directorio y los recursos de AWS utilicen Active Directory (AD)
administrado en AWS.

DNS Sistema de nombres de dominio.

Un FQDN es un nombre de dominio completo que incluye el nombre
FQDN
de la computadora y el nombre de dominio asociado a ese equipo.

GPOs Objetos de política de grupo.

HTTPS Protocolo seguro de transferencia de hipertexto.

IAM Identity and Access Management (gestión de accesos e identidades)

Le permite ejecutar Microsoft Active Directory (AD) como un servicio

Managed Microsoft AD
administrado.
MFA Multi-factor Authentication (autenticación multi factor).
Ofrece un servidor Chef Automate completamente administrado y
un conjunto de herramientas de automatización que le brindan
automatización de flujos de trabajo para lograr una implementación
OpsWorks for Chef Automate
continua, pruebas automáticas para lograr conformidad y seguridad,
y una interfaz de usuario que provee visibilidad de sus nodos y
estados.
AWS OpsWorks para Puppet Enterprise es un servicio de
administración de la configuración totalmente administrado que
OpsWorks for Puppet Enterprise aloja Puppet Enterprise, un conjunto de herramientas de
automatización de Puppet para la administración de infraestructuras
y aplicaciones.
PCoIP PC over IP.

RADIUS Remote Authentication Dial-In User Service.

Centro Criptológico Nacional 40

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Término Definición

Un grupo de seguridad funciona como un firewall virtual para las

Security Group
instancias EC2 para controlar el tráfico entrante y saliente.
Simple AD es un directorio administrado independiente que utiliza
Simple AD
tecnología de un servidor compatible con Active Directory.
TCP Protocolo de control de transmisión.

UDP Protocolo de datagramas de usuario.

VPC Red virtual privada.

WorkSpaces Escritorio como servicio (DaaS).

WSP Amazon WorkSpaces Streaming Protocol.

Centro Criptológico Nacional 41

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

5. GLOSARIO DE SERVICIOS AWS

A continuación, se reúnen los diferentes servicios mencionados a lo largo de esta guía
incluyendo enlaces a la documentación concreta de cada uno de ellos. Como complemento de
estos documentos se recomienda el uso del siguiente recurso enfocado a los aspectos de
seguridad de cada uno de ellos:
https://docs.aws.amazon.com/security/

Servicio URL de documentación del servicio

Amazon CloudTrail https://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/cloudtrail-

user-guide.html

Amazon CloudWatch https://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/monitoring/Wh

atIsCloudWatch.html
Amazon EC2 https://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/concepts.html
Amazon EFS https://docs.aws.amazon.com/es_es/efs/latest/ug/whatisefs.html
Amazon Identity &
Access Management https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/introduction.html
(IAM)

Amazon Macie https://docs.aws.amazon.com/es_es/macie/latest/userguide/what-is-macie.html

Amazon S3 https://docs.aws.amazon.com/es_es/AmazonS3/latest/userguide/Welcome.html
Amazon SNS https://docs.aws.amazon.com/es_es/sns/latest/dg/welcome.html
Amazon VPC https://docs.aws.amazon.com/es_es/vpc/latest/userguide/what-is-amazon-
vpc.html
AWS Config https://docs.aws.amazon.com/es_es/config/latest/developerguide/WhatIsConfig
.html
AWS Control Tower https://docs.aws.amazon.com/es_es/controltower/latest/userguide/what-is-
control-tower.html
AWS Key Management
https://aws.amazon.com/es/kms/
Service (KMS)
AWS Lambda https://docs.aws.amazon.com/es_es/lambda/latest/dg/welcome.html
AWS Security Hub https://docs.aws.amazon.com/es_es/securityhub/latest/userguide/what-is-
securityhub.html
AWS VPN https://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/VPC_VPN.html

AWS WAF https://docs.aws.amazon.com/es_es/waf/latest/developerguide/what-is-aws-

waf.html

Centro Criptológico Nacional 42

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

6. CUADRO RESUMEN DE MEDIDAS DE SEGURIDAD

Se facilita a continuación un cuadro resumen de configuraciones a aplicar para la protección del servicio. Estas medidas sirven para valorar el
nivel de cumplimiento de la organización.
Para entender la herramienta Prowler y su activación para evaluación de cumplimiento con el Esquema Nacional de Seguridad consulte el anexo
CCN-STIC 887B Guía rápida de Prowler.

Control Descripción Identificador control

Descripción control Chequeo Prowler automatizado
ENS medida guías ENS AWS
Uso de un proveedor de identidad 7.33 [extra733] Check if there are SAML Providers then STS can be used
op.acc.1.aws.iam.1
centralizado (Not Scored) (Not part of CIS benchmark) [extras- gdpr]
Evitar el uso permanente de dos claves
op.acc.1.aws.iam.2 [extra7123] Check if IAM users have two active access keys
para un mismo usuario -
Las credenciales que no hayan sido 1.3 [check13] Ensure credentials unused for 90 days or greater are disabled
op.acc.1.aws.iam.3 empleadas durante un periodo de 90 (Scored) [group1- cislevel1- cislevel2- gdpr- hipaa- pci- iso27001- ffiec-
op.acc.1 Identificación días o más deberán ser deshabilitadas soc2]
Las claves de acceso deberán rotarse 1.4 [check14] Ensure access keys are rotated every 90 days or less (Scored)
op.acc.1.aws.iam.4
cada 90 días o menos. [group1- cislevel1- cislevel2- gdpr- pci- iso27001- ffiec]
Se deberá evitar la definición de claves
de acceso por defecto para todos lo 1.21 [check121] Do not setup access keys during initial user setup for all
op.acc.1.aws.iam.5
usuarios IAM que tengan acceso a la IAM users that have a console password (Not Scored) [group1- cislevel2]
consola.
Evitar el uso de asunción de roles para 7.100 [extra7100] Ensure that no custom policies exist which allow
op.acc.2.aws.iam.1
cualquier cuenta permissive role assumption (e.g. sts:AssumeRole on *) [extras]
[op.acc.2] Requisitos de acceso Deberá asignarse correctamente la
[check120] Ensure a support role has been created to manage incidents
op.acc.1.aws.iam.4 política AWSSupportAccess a usuarios
with AWS Support (Scored) [group1- cislevel1- cislevel2- gdpr]
o roles existentes

Centro Criptológico Nacional 43

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Control Descripción Identificador control

Descripción control Chequeo Prowler automatizado
ENS medida guías ENS AWS
Segregación de Las políticas IAM deberán estar 1.16 [check116] Ensure IAM policies are attached only to groups or roles
[op.acc.3] op.acc.3.aws.iam.1
funciones y tareas asociadas sólo a grupos o roles (Scored) [group1- cislevel1- cislevel2- gdpr- pci- iso27001- ffiec]
Proceso de gestión Habilitar Systems Manager automation
[op.acc.4] de derechos de op.acc.4.aws.sys.1 para evitar acceso remoto humano a [extra7124] Check if EC2 instances are managed by Systems Manager
acceso tareas automatizables
MFA deberá estar habilitado para 1.2 [check12] Ensure multi-factor authentication (MFA) is enabled for all
op.acc.5.aws.iam.1 todas las cuentas que tengan IAM users that have a console password (Scored) [group1- cislevel1-
contraseña para acceder a la consola. cislevel2- gdpr- hipaa- pci- iso27001- ffiec- soc2]
En nivel Alto el uso de MFA exigirá el
uso de tokens físicos que usen
op.acc.5.aws.iam.2 [extra7125] Check if IAM users have HW MFA enabled
Mecanismo de algoritmos y parámetros acreditados
[op.acc.5] por el Centro Criptológico Nacional.
autenticación
1.4 [check14] Ensure access keys are rotated every 90 days or less (Scored)
op.acc.5.aws.iam.3 Rotación de clave de acceso
[group1- cislevel1- cislevel2- gdpr- pci- iso27001- ffiec]
1.3 [check13] Ensure credentials unused for 90 days or greater are disabled
Suspensión de claves que no estén en
op.acc.5.aws.iam.4 (Scored) [group1- cislevel1- cislevel2- gdpr- hipaa- pci- iso27001- ffiec-
uso
soc2]
Habilitar CloudTrail en todas las
Acceso remoto 2.1 [check21] Ensure CloudTrail is enabled in all regions (Scored) [group2-
[op.acc.7] op.acc.7.aws.iam.1 regiones para el registro de accesos de
(remote login) cislevel1- cislevel2- forensics-ready- gdpr- hipaa- pci- iso27001- ffiec- soc2]
usuarios
Asegure que AWS Config está 2.5 [check25] Ensure AWS Config is enabled in all regions (Scored) [group2-
op.exp.1.aws.cfg.1
habilitado en todas las regiones cislevel1- cislevel2- forensics-ready- gdpr- pci- iso27001- ffiec]
[op.exp.1 En caso de no emplear otra
Inventario de activos
] herramienta de terceros se debe [extra7126] Check if EC2 instances are listed in the Systems Manager
op.exp.1.aws.sys.1
habilitar Inventory para todo el inventory
entorno EC2 []

Centro Criptológico Nacional 44

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Control Descripción Identificador control

Descripción control Chequeo Prowler automatizado
ENS medida guías ENS AWS
Active AWS Systems Manager y
[op.exp.4 [extra7127] Check if EC2 instances managed by Systems Manager are
Mantenimiento op.exp.4.aws.sys.1 gestionen la conformidad de parches a
] compliance with patching requirements
través de su solución explorer
Se deberá establecer un filtro de
3.5 [check35] Ensure a log metric filter and alarm exist for CloudTrail
métricas y una alarma para detectar
op.exp.8.aws.trail.1 configuration changes (Scored) [group3- cislevel1- cislevel2- gdpr- hipaa-
cambios en las configuraciones de
iso27001- ffiec- soc2]
CloudTrail.
2.4 [check24] Ensure CloudTrail trails are integrated with CloudWatch Logs
integrar CloudTrail con el servicio
op.exp.8.aws.cw.1 (Scored) [group2- cislevel1- cislevel2- forensics-ready- gdpr- hipaa-
CloudWatch Logs
iso27001]
Deberán habilitarse alertas para los 3.1 [check31] Ensure a log metric filter and alarm exist for unauthorized API
op.exp.8.aws.trail.2 eventos de accesos no permitidos a la calls (Scored) [group3- cislevel1- cislevel2- gdpr- hipaa- pci- iso27001- ffiec-
API soc2]
Registro de la
[op.exp.8 Deberán habilitarse alertas para los 3.6 [check36] Ensure a log metric filter and alarm exist for AWS
actividad de los
] op.exp.8.aws.trail.3 eventos de accesos no permitidos a la Management Console authentication failures (Scored) [group3- cislevel2-
usuarios
Consola gdpr- hipaa- pci- iso27001- ffiec- soc2]
3.2 [check32] Ensure a log metric filter and alarm exist for Management
Deberán habilitarse alertas para los
op.exp.8.aws.trail.4 Console sign-in without MFA (Scored) [group3- cislevel1- cislevel2- gdpr-
accesos a la consola sin el uso de MFA
hipaa- iso27001- ffiec- soc2]
3.3 [check33] Ensure a log metric filter and alarm exist for usage of root
Deberán habilitarse alertas para toda
op.exp.8.aws.trail.5 account (Scored) [group3- cislevel1- cislevel2- gdpr- hipaa- iso27001- ffiec-
actividad de la cuenta root
soc2]
Deberán habilitarse alertas para 3.4 [check34] Ensure a log metric filter and alarm exist for IAM policy
op.exp.8.aws.trail.6 cualquier cambio sobre las políticas changes (Scored) [group3- cislevel1- cislevel2- gdpr- hipaa- iso27001- ffiec-
IAM soc2]

Centro Criptológico Nacional 45

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Control Descripción Identificador control

Descripción control Chequeo Prowler automatizado
ENS medida guías ENS AWS
Se deberá habilitar la validación de 2.2 [check22] Ensure CloudTrail log file validation is enabled (Scored)
op.exp.10.aws.trail.1
archivos en todos los CloudTrails [group2- cislevel2- forensics-ready- gdpr]
7.1 [extra71] Ensure users of groups with hAdministratorAccess policy have
Se deberá activar acceso por MFA al MFA tokens enabled (not Scored) (Not part of CIS benchmark) [extras-
op.exp.10.aws.trail.2
registro de actividad forensics-ready- gdpr- hipaa- rds- elasticsearch- pci- internet-exposed-
iso27001- ffiec- soc2- sagemaker]
Protección de los
[op.exp.1 2.3 [check23] Ensure the S3 bucket CloudTrail logs to is not publicly
registros de El almacén de logs de CloudTrail no
0] op.exp.10.aws.trail.3 accessible (Scored) [group2- cislevel1- cislevel2- forensics-ready- gdpr-
actividad debería ser accesible de forma pública
hipaa- pci- iso27001- ffiec]
El almacén de logs de CloudTrail no 2.3 [check23] Ensure the S3 bucket CloudTrail logs to is not publicly
op.exp.10.aws.trail.4 debería ser accesible de forma pública accessible (Scored) [group2- cislevel1- cislevel2- forensics-ready- gdpr-
(ACLs) hipaa- pci- iso27001- ffiec]
2.7 [check27] Ensure CloudTrail logs are encrypted at rest using KMS CMKs
op.exp.10.aws.trail.5 Cifrado de los trails con KMS
(Scored) [group2- cislevel2- forensics-ready- gdpr- hipaa- pci]
3.7 [check37] Ensure a log metric filter and alarm exist for disabling or
op.exp.11.aws.kms.1 Audite el uso de las claves de cifrado scheduled deletion of customer created CMKs (Scored) [group3- cislevel2-
gdpr- hipaa- iso27001- ffiec- soc2]

op.exp.11.aws.kms.1 Audite el uso de las claves de cifrado 7.36 [extra736] Check exposed KMS keys (Not Scored) (Not part of CIS
[op.exp.1 Protección de claves
benchmark) [extras- gdpr- internet-exposed]
1] criptográficas
Se deberán eliminar todas las claves
administradas por el cliente (CMK) de
op.exp.11.aws.kms.2 KMS que no estén en uso, de modo 7.126 [extra7126]
que se pueda garantizar un proceso de
administración de claves adecuado

Centro Criptológico Nacional 46

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Control Descripción Identificador control

Descripción control Chequeo Prowler automatizado
ENS medida guías ENS AWS
La rotación de las CMKs creadas por el 7.37 [extra737] Check KMS keys with key rotation disabled (Not Scored)
op.exp.11.aws.kms.3
cliente deberá estar activada (Not part of CIS benchmark) [extras]
Habilitar SSL en los balanceadores de 7.93 [extra793] Check if Elastic Load Balancers have SSL listeners (Not
mp.com.2.aws.elb.1
carga ELB Scored) (Not part of CIS benchmark) [extras]
Evitar el uso de protocolos de cifrado
inseguros para las políticas de
seguridad de ELB. Esto podría dejar la 7.92 [extra792] Check if Elastic Load Balancers have insecure SSL ciphers
mp.com.2.aws.elb.2 conexión SSL entre balanceadores y (Not Scored) (Not part of CIS benchmark) [extras- gdpr- hipaa- iso27001-
clientes vulnerables a ser explotados. ffiec- soc2]
En particular deberá evitarse el uso de
[mp.com. Protección de la TLS 1.0.
2] confidencialidad
Asegurar que los Buckets S3 de
almacenamiento apliquen cifrado para 7.64 [extra764] Check if S3 buckets have secure transport policy (Not
mp.com.2.aws.s3.1
la transferencia de datos empleando Scored) (Not part of CIS benchmark) [extras]
Secure Sockets Layer (SSL)
7.38 [extra738] Check if CloudFront distributions are set to HTTPS (Not
Asegurar que la distribución entre
Scored) (Not part of CIS benchmark) [extras- gdpr- pci- internet-exposed]
mp.com.2.aws.front.1 frontales CloudFront y sus orígenes
7.91 [extra791] Check if CloudFront distributions are using deprecated SSL
únicamente emplee tráfico HTTPs
protocols [extras]
Las bases de datos AWS DynamoDB
deberán implementar cifrado seguro
empleando claves del cliente (CMKS).
[mp.info. Cifrado de la Además de cifrar la información en 7.128 [extra7128] Check if DynamoDB has encryption at rest enabled using
mp.info.3.aws.dyndb.1
3] información reposo- cifrar DynamoDb con CMK CMK KMS
administrada por AWS le permite ver
la CMK y su política de claves y
también auditar los eventos de cifrado

Centro Criptológico Nacional 47

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Control Descripción Identificador control

Descripción control Chequeo Prowler automatizado
ENS medida guías ENS AWS
/ descifrado examinando las llamadas
a la API de DynamoDB mediante
CloudTrail
El almacenamiento de las instancias
7.29 [extra729] Ensure there are no EBS Volumes unencrypted (Not Scored)
mp.info.3.aws.ebs.1 (máquinas virtuales) deberá estar
(Not part of CIS benchmark) [extras- gdpr- hipaa- pci]
cifrado
Para asegurar el punto anterior se
recomienda dejar activada la opción 7.61 [extra761] Check if EBS Default Encryption is activated (Not Scored)
mp.info.3.aws.ebs.2
de cifrado por defecto para nuevos (Not part of CIS benchmark) [extras- gdpr]
volúmenes
Se deberá asegurar el cifrado de las
7.40 [extra740] Check if EBS snapshots are encrypted (Not Scored) (Not
mp.info.3.aws.ebs.3 copias de seguridad (snapshots) de
part of CIS benchmark) [extras- gdpr- hipaa- pci]
EBS
Las bases de datos de AWS RDS
7.35 [extra735] Check if RDS instances storage is encrypted (Not Scored)
mp.info.3.aws.rds.1 deberán implementar cifrado de los
(Not part of CIS benchmark) [extras- gdpr- hipaa- rds- pci]
datos
Asegurar que los distintos almacenes 7.34 [extra734] Check if S3 buckets have default encryption (SSE) enabled
mp.info.3.s3.1 (buckets) de S3 tengan activados el or use a bucket policy to enforce it (Not Scored) (Not part of CIS
cifrado en reposo benchmark) [extras- gdpr- hipaa]
Las colas SNS deberán implementar 7.28 [extra728] Check if SQS queues have Server Side Encryption enabled
mp.info.3.sns.1
cifrado de la información en reposo (Not Scored) (Not part of CIS benchmark) [extras]
En caso de usar el servicio de Amazon
Elasticsearch Service (ES) deberá 7.81 [extra781] Check if Amazon Elasticsearch Service (ES) domains has
mp.info.3.aws.au.1
asegurarse la activación del cifrado en encryption at-rest enabled [extras- elasticsearch- pci]
reposo para todos sus dominios

Centro Criptológico Nacional 48

 CCN-STIC-887G Guía de Configuración segura para Monitorización y gestión AWS

Centro Criptológico Nacional 49