Recomendaciones de seguridad de red

En este artículo se enumeran todas las recomendaciones de seguridad de red que puede ver en Microsoft Defender for Cloud.

Las recomendaciones que aparecen en el entorno se basan en los recursos que está protegiendo y en la configuración personalizada.

Para obtener información sobre las acciones que puede realizar en respuesta a estas recomendaciones, consulte Corrección de recomendaciones en Defender for Cloud.

Sugerencia

Si una descripción de recomendación indica No hay ninguna directiva relacionada, normalmente es porque esa recomendación depende de otra recomendación.

Por ejemplo, se deben corregir los errores de estado de Endpoint Protection en función de la recomendación que comprueba si se instala una solución de Endpoint Protection (se debe instalar la solución Endpoint Protection). La recomendación subyacente tiene una directiva. La limitación de directivas solo a recomendaciones fundamentales simplifica la administración de directivas.

Recomendaciones de redes de Azure

Se debe restringir el acceso a las cuentas de almacenamiento con configuraciones de red virtual y firewall

Descripción: revise la configuración del acceso a la red en la configuración del firewall de la cuenta de almacenamiento. Se recomienda configurar reglas de red de modo que solo las aplicaciones de redes permitidas puedan acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. (Directiva relacionada: Las cuentas de almacenamiento deben restringir el acceso a la red).

Gravedad: baja

Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet

Descripción: Defender for Cloud ha analizado los patrones de comunicación de tráfico de Internet de las máquinas virtuales que se enumeran a continuación y ha determinado que las reglas existentes en los NSG asociadas a ellas son excesivamente permisivas, lo que da lugar a un aumento de la superficie expuesta a ataques potencial. Esto suele ocurrir cuando esta dirección IP no se comunica con regularidad con este recurso. Como alternativa, la dirección IP se ha marcado como malintencionada en los orígenes de inteligencia sobre amenazas de Microsoft Defender for Cloud. (Directiva relacionada: Las recomendaciones de protección de red adaptable deben aplicarse en máquinas virtuales accesibles desde Internet.

Gravedad: alta

Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual

Descripción: Defender for Cloud ha identificado que algunas de las reglas de entrada de los grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. (Directiva relacionada: Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual).

Gravedad: alta

Azure DDoS Protection Standard debe estar habilitado

Descripción: Defender for Cloud ha detectado redes virtuales con recursos de Application Gateway desprotegidos por el servicio de protección contra DDoS. Estos recursos contienen direcciones IP públicas. Permita la mitigación de los ataques volumétricos de red y protocolo. (Directiva relacionada: Azure DDoS Protection Standard debe estar habilitado).

Gravedad: media

Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red

Descripción: proteja la máquina virtual frente a posibles amenazas mediante la restricción del acceso a ella con un grupo de seguridad de red (NSG). Los grupos de seguridad de red contienen reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la máquina virtual desde otras instancias, que se encuentran tanto en la misma subred como fuera de ella. Para mantener la máquina tan protegida como sea posible, se debe restringir su acceso a Internet y se debe habilitar un grupo de seguridad de red en la subred. Las máquinas virtuales con una gravedad "Alta" son aquellas a las que se puede acceder desde Internet. (Directiva relacionada: Las máquinas virtuales accesibles desde Internet deben protegerse con grupos de seguridad de red.

Gravedad: alta

El reenvío de IP en la máquina virtual debe estar deshabilitado

Descripción: Defender for Cloud ha descubierto que el reenvío IP está habilitado en algunas de las máquinas virtuales. Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. (Directiva relacionada: El reenvío IP en la máquina virtual debe estar deshabilitado).

Gravedad: media

Las máquinas deben tener puertos cerrados que puedan exponer vectores de ataque

Descripción: los términos de uso de Azure prohíben el uso de servicios de Azure de maneras que podrían dañar, deshabilitar, sobrecargar o perjudicar cualquier servidor de Microsoft o la red. Esta recomendación enumera los puertos expuestos que deben cerrarse para conseguir una seguridad continuada. También ilustra la amenaza potencial para cada puerto. (Ninguna directiva relacionada)

Gravedad: alta

Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time.

Descripción: Defender for Cloud ha identificado algunas reglas de entrada excesivamente permisivas para los puertos de administración en el grupo de seguridad de red. Habilite el control de acceso Just-in-Time para proteger la máquina virtual frente a los ataques por fuerza bruta que se realizan a través de Internet. Más información en Descripción del acceso a la máquina virtual Just-in-Time (JIT) (Directiva relacionada: Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time).

Gravedad: alta

Se deben cerrar los puertos de administración en las máquinas virtuales

Descripción: los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo frente a ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina (Directiva relacionada: Los puertos de administración deben cerrarse en las máquinas virtuales).

Gravedad: media

Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red

Descripción: proteja la máquina virtual sin conexión a Internet frente a posibles amenazas al restringir el acceso a ella con un grupo de seguridad de red (NSG). Los grupos de seguridad de red contienen reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la máquina virtual desde otras instancias, independientemente de que se encuentren en la misma subred o fuera de ella. Tenga en cuenta que para mantener la máquina tan protegida como sea posible, se debe restringir su acceso a Internet y se debe habilitar un grupo de seguridad de red en la subred. (Directiva relacionada: Las máquinas virtuales que no tienen conexión a Internet deben protegerse con grupos de seguridad de red).

Gravedad: baja

Se debe habilitar la transferencia segura a las cuentas de almacenamiento

Descripción: la transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solicitudes solo desde conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión. (Directiva relacionada: Se debe habilitar la transferencia segura a las cuentas de almacenamiento).

Gravedad: alta

Las subredes deben estar asociadas con un grupo de seguridad de red

Descripción: proteja la subred frente a posibles amenazas al restringir el acceso a ella con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. Cuando un grupo de seguridad de red está asociado a una subred, las reglas de ACL se aplican tanto a todas las instancias de la máquina virtual como a los servicios integrados de esa subred, pero no se aplican al tráfico interno de la subred. Para proteger los recursos de la misma subred entre sí, habilite el grupo de seguridad de red directamente en los recursos. Tenga en cuenta que los siguientes tipos de subred se mostrarán como no aplicables: GatewaySubnet, AzureFirewallSubnet y AzureBastionSubnet. (Directiva relacionada: Las subredes deben estar asociadas a un grupo de seguridad de red).

Gravedad: baja

Azure Firewall debe proteger las redes virtuales

Descripción: algunas de las redes virtuales no están protegidas con un firewall. Use Azure Firewall para restringir el acceso a las redes virtuales y evitar posibles amenazas. (Directiva relacionada: Todo el tráfico de Internet se debe enrutar a través de Azure Firewall implementado.

Recomendaciones de redes de AWS

Amazon EC2 debe configurarse para usar puntos de conexión de VPC

Descripción: este control comprueba si se crea un punto de conexión de servicio para Amazon EC2 para cada VPC. El control produce un error si una VPC no tiene un punto de conexión de VPC creado para el servicio Amazon EC2. Para mejorar la posición de seguridad de la VPC, puede configurar Amazon EC2 para que use un punto de conexión de VPC de la interfaz. Los puntos de conexión de interfaz cuentan con la tecnología de AWS PrivateLink, una tecnología que le permite acceder a las operaciones de API de Amazon EC2 de forma privada. Restringe todo el tráfico de red entre la VPC y Amazon EC2 a la red de Amazon. Dado que los puntos de conexión solo se admiten en la misma región, no se puede crear un punto de conexión entre una VPC y un servicio en otra región. Esto evita llamadas API de Amazon EC2 no intencionadas a otras regiones. Para más información sobre la creación de puntos de conexión de VPC para Amazon EC2, vea Amazon EC2 y puntos de enlace de la VPC de tipo interfaz en la Guía del usuario de Amazon EC2 para instancias de Linux.

Gravedad: media

Los servicios de Amazon ECS no deberían tener direcciones IP públicas asignadas automáticamente a ellos.

Descripción: una dirección IP pública es una dirección IP accesible desde Internet. Si inicia las instancias de Amazon ECS con una dirección IP pública, las instancias de Amazon ECS son accesibles desde Internet. Los servicios de Amazon ECS no deben ser accesibles públicamente, ya que esto podría permitir el acceso no deseado a los servidores de aplicaciones de contenedor.

Gravedad: alta

Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas.

Descripción: este control comprueba si los nodos maestros de los clústeres de Amazon EMR tienen direcciones IP públicas. Se produce un error en el control si el nodo maestro tiene direcciones IP públicas asociadas a cualquiera de sus instancias. Las direcciones IP públicas se designan en el campo PublicIp de la configuración NetworkInterfaces de la instancia. Este control solo comprueba los clústeres de Amazon EMR que están en estado RUNNING o WAITING.

Gravedad: alta

Los clústeres de Amazon Redshift deben usar el enrutamiento de VPC mejorado.

Descripción: este control comprueba si un clúster de Amazon Redshift tiene enhancedVpcRouting habilitado. El enrutamiento de VPC mejorado obliga a que todo el tráfico COPY y UNLOAD entre el clúster y los repositorios de datos pase por la VPC. A continuación, puede usar características de VPC, como grupos de seguridad y listas de control de acceso de red, para proteger el tráfico de red. También puede usar los registros de flujo de VPC para supervisar el tráfico de red.

Gravedad: alta

El equilibrador de carga de la aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS.

Descripción: para aplicar el cifrado en tránsito, debe usar acciones de redirección con equilibradores de carga de aplicaciones para redirigir las solicitudes HTTP del cliente a una solicitud HTTPS en el puerto 443.

Gravedad: media

Los equilibradores de carga de aplicaciones deben configurarse para quitar los encabezados HTTP.

Descripción: este control evalúa los equilibradores de carga de aplicaciones de AWS (ALB) para asegurarse de que están configurados para quitar encabezados HTTP no válidos. Se produce un error en el control si el valor routing.http.drop_invalid_header_fields.enabled está establecido en false. De forma predeterminada, los ALB no están configurados para quitar valores de encabezado HTTP no válidos. La eliminación de estos valores de encabezado evita ataques de desincronización HTTP.

Gravedad: media

Configuración de funciones lambda en una VPC.

Descripción: este control comprueba si una función Lambda está en una VPC. No evalúa la configuración de enrutamiento de subred de VPC para determinar la accesibilidad pública. Tenga en cuenta que si Lambda@Edge se encuentra en la cuenta, este control genera resultados con errores. Para evitar estos resultados, puede deshabilitar este control.

Gravedad: baja

Las instancias de EC2 no deben tener una dirección IP pública.

Descripción: este control comprueba si las instancias ec2 tienen una dirección IP pública. Se produce un error en el control si el campo "publicIp" está presente en el elemento de configuración de la instancia de EC2. Este control solo se aplica a direcciones IPv4. Una dirección IPv4 pública es una dirección IP a la que se puede acceder desde Internet. Si inicia la instancia con una dirección IP pública, se puede acceder a la instancia de EC2 desde Internet. Una dirección IPv4 privada es una dirección IP que no es accesible desde Internet. Puede usar direcciones IPv4 privadas para la comunicación entre instancias de EC2 en la misma VPC o en la red privada conectada. Las direcciones IPv6 son únicas globalmente y, por tanto, son accesibles desde Internet. Sin embargo, de forma predeterminada, todas las subredes tienen el atributo de direccionamiento IPv6 establecido en false. Para obtener más información sobre IPv6, vea Direccionamiento IP de instancias en su VPC en la Guía del usuario de Amazon VPC. Si tiene un caso de uso legítimo para mantener instancias de EC2 con direcciones IP públicas, puede suprimir los resultados de este control. Para más información sobre las opciones de arquitectura de front-end, vea el blog sobre la arquitectura de AWS o la serie This Is My Architecture.

Gravedad: alta

Las instancias de EC2 no deben usar varias ENI

Descripción: este control comprueba si una instancia ec2 usa varias interfaces de red elásticas (ENIs) o adaptadores de tejido elástico (EFA). Este control pasa si se usa un único adaptador de red. El control incluye una lista de parámetros opcionales para identificar las ENI permitidas. Varias ENI pueden provocar instancias de base dual, lo que significa instancias que tienen varias subredes. Esto puede agregar complejidad de seguridad de red e introducir acceso y rutas de acceso de red no deseados.

Gravedad: baja

Las instancias de EC2 deben usar IMDSv2.

Descripción: este control comprueba si la versión de metadatos de la instancia ec2 está configurada con Instance Metadata Service versión 2 (IMDSv2). El control pasa si "HttpTokens" está establecido en "required" para IMDSv2. Se produce un error en el control si "HttpTokens" está establecido en "opcional". Los metadatos de instancia se usan para configurar o administrar la instancia en ejecución. IMDS proporciona acceso a credenciales temporales rotadas con frecuencia. Estas credenciales eliminan la necesidad de codificar o distribuir credenciales confidenciales a las instancias de forma manual o mediante programación. IMDS se asocia localmente a cada instancia de EC2. Se ejecuta en una dirección IP "link local" especial de 169.254.169.254. A esta dirección IP solo puede acceder el software que se ejecuta en la instancia. La versión 2 de IMDS agrega nuevas protecciones para los siguientes tipos de vulnerabilidades. Estas vulnerabilidades se pueden usar para intentar acceder a IMDS.

• Apertura de firewalls de aplicaciones de sitio web
• Abrir servidores proxy inversos
• Vulnerabilidades de falsificación de solicitudes del lado servidor (SSRF)
• Open Layer 3 firewalls and network address translation (NAT) Security Hub recomienda configurar las instancias ec2 con IMDSv2.

Gravedad: alta

Las subredes de EC2 no deben asignar automáticamente direcciones IP públicas.

Descripción: este control comprueba si la asignación de direcciones IP públicas en subredes de la nube privada virtual de Amazon (Amazon VPC) tiene "MapPublicIpOnLaunch" establecido en "FALSE". El control pasa si la marca está establecida en "FALSE". Todas las subredes tienen un atributo que determina si una interfaz de red creada en la subred recibe automáticamente una dirección IPv4 pública. Las instancias que se inician en subredes que tienen habilitado este atributo tienen una dirección IP pública asignada a su interfaz de red principal.

Gravedad: media

Asegúrese de que haya un filtro de métricas de registro y una alarma para detectar los cambios hechos en la configuración de AWS Config.

Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro de métricas y una alarma para detectar cambios en las configuraciones de CloudTrail. La supervisión de los cambios en la configuración de AWS Config ayuda a garantizar una visibilidad sostenida de los elementos de configuración dentro de la cuenta de AWS.

Gravedad: baja

Asegúrese de que haya un filtro de métricas de registro y una alarma para los errores de autenticación en la Consola de administración de AWS.

Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro de métricas y una alarma para los intentos de autenticación de consola con errores. La supervisión de inicios de sesión de consola con errores podría reducir el tiempo de ejecución para detectar un intento de forzar por fuerza bruta una credencial, lo que podría proporcionar un indicador, como la dirección IP de origen, que se puede usar en otra correlación de eventos.

Gravedad: baja

Asegúrese de que existen un filtro de métricas de registro y una alarma para los cambios en las listas de control de acceso de red (NACL).

Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Las NACL se usan como filtro de paquetes sin estado para controlar el tráfico de entrada y salida de subredes dentro de una VPC. Se recomienda establecer un filtro y una alarma de métricas para los cambios realizados en las NACL. La supervisión de los cambios en las NACL ayuda a garantizar que los recursos y servicios de AWS no se expongan involuntariamente.

Gravedad: baja

Asegúrese de que haya un filtro de métricas de registro y una alarma para detectar los cambios hechos en las puertas de enlace de red.

Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Las puertas de enlace de red son necesarias para enviar y recibir tráfico a un destino fuera de una VPC. Se recomienda establecer un filtro de métricas y una alarma para los cambios en las puertas de enlace de red. La supervisión de los cambios en las puertas de enlace de red ayuda a garantizar que todo el tráfico de entrada y salida atraviesa el borde de la VPC a través de una ruta de acceso controlada.

Gravedad: baja

Asegúrese de que haya un filtro de métricas de registro y una alarma para detectar los cambios realizados en la configuración de CloudTrail.

Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro de métricas y una alarma para detectar cambios en las configuraciones de CloudTrail.

La supervisión de los cambios en la configuración de CloudTrail ayuda a garantizar una visibilidad sostenida de las actividades realizadas en la cuenta de AWS.

Gravedad: baja

Asegúrese de que haya un filtro de métricas de registro y una alarma para la deshabilitación o la eliminación programada de CMK creados por el cliente.

Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro de métricas y una alarma para cmK creados por el cliente, que han cambiado el estado a deshabilitado o eliminación programada. Ya no se podrá acceder a los datos cifrados con claves deshabilitadas o eliminadas.

Gravedad: baja

Asegúrese de que haya un filtro de métricas de registro y una alarma para detectar los cambios hechos en la directiva de IAM.

Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro de métricas y una alarma en las directivas de administración de identidades y acceso (IAM). La supervisión de los cambios en las directivas de IAM ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.

Gravedad: baja

Asegúrese de que haya un filtro de métricas de registro y una alarma para los inicios de sesión en la Consola de administración sin MFA.

Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro de métricas y una alarma para los inicios de sesión de consola que no están protegidos por la autenticación multifactor (MFA). La supervisión de inicios de sesión de consola de un solo factor aumenta la visibilidad de las cuentas que no están protegidas por MFA.

Gravedad: baja

Asegúrese de que haya un filtro de métricas de registro y una alarma para detectar los cambios hechos en las tablas de ruta.

Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Las tablas de enrutamiento se usan para enrutar el tráfico de red entre subredes y a puertas de enlace de red. Se recomienda establecer un filtro de métricas y una alarma para los cambios en las tablas de rutas. La supervisión de los cambios en las tablas de rutas ayuda a garantizar que todo el tráfico de VPC fluya a través de una ruta de acceso esperada.

Gravedad: baja

Asegúrese de que haya un filtro de métricas de registro y una alarma para detectar los cambios hechos en la directiva del cubo de S3.

Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro y una alarma de métricas para los cambios realizados en las directivas de cubos de S3. La supervisión de los cambios en las directivas de cuboS de S3 puede reducir el tiempo para detectar y corregir directivas permisivas en cubos S3 confidenciales.

Gravedad: baja

Asegúrese de que haya un filtro de métricas de registro y una alarma para detectar los cambios hechos en el grupo de seguridad.

Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Los grupos de seguridad son un filtro de paquetes con estado que controla el tráfico de entrada y salida dentro de una VPC. Se recomienda establecer un filtro de métricas y una alarma en grupos de seguridad. La supervisión de los cambios en el grupo de seguridad ayuda a garantizar que los recursos y los servicios no se exponen involuntariamente.

Gravedad: baja

Asegúrese de que haya un filtro de métricas de registro y una alarma para las llamadas API no autorizadas.

Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro de métricas y una alarma para llamadas API no autorizadas. La supervisión de llamadas API no autorizadas ayuda a revelar errores de aplicación y puede reducir el tiempo para detectar actividades malintencionadas.

Gravedad: baja

Asegúrese de que haya un filtro de métricas de registros y una alarma para el uso de la cuenta "raíz".

Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Se recomienda establecer un filtro de métricas y una alarma para los intentos de inicio de sesión raíz.

La supervisión de los inicios de sesión de la cuenta raíz proporciona visibilidad sobre el uso de una cuenta con privilegios completos y una oportunidad para reducir el uso de ella.

Gravedad: baja

Asegúrese de que haya un filtro de métricas de registro y una alarma para detectar los cambios hechos en VPC.

Descripción: la supervisión en tiempo real de las llamadas API se puede lograr al dirigir los registros de CloudTrail a Los registros de CloudWatch y establecer los filtros y alarmas de métricas correspondientes. Es posible tener más de una VPC dentro de una cuenta, además de que también es posible crear una conexión del mismo nivel entre 2 VPC, lo que permite que el tráfico de red se enrute entre LAS VPN. Se recomienda establecer un filtro de métricas y una alarma para los cambios realizados en las VPC. La supervisión de los cambios en las directivas de IAM ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.

Gravedad: baja

Asegúrese de que ningún grupo de seguridad permite la entrada de 0.0.0.0/0 al puerto 3389

Descripción: Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada/salida a los recursos de AWS. Se recomienda que ningún grupo de seguridad permita el acceso de entrada sin restricciones al puerto 3389. Cuando se quita la conectividad sin límite a los servicios de consola remota, como RDP, se reduce la exposición de un servidor al riesgo.

Gravedad: alta

Las bases de datos y los clústeres de RDS no deben usar un puerto predeterminado del motor de base de datos.

Descripción: este control comprueba si el clúster o la instancia de RDS usa un puerto distinto del puerto predeterminado del motor de base de datos. Si usa un puerto conocido para implementar un clúster o una instancia de RDS, un atacante puede adivinar información sobre el clúster o la instancia. El atacante puede usar esta información junto con otra información para conectarse a un clúster o una instancia de RDS u obtener información adicional sobre la aplicación. Al cambiar el puerto, también debe actualizar las cadenas de conexión existentes que se usaron para conectarse al puerto anterior. También debe comprobar el grupo de seguridad de la instancia de base de datos para asegurarse de que incluye una regla de entrada que permite la conectividad en el nuevo puerto.

Gravedad: baja

Las instancias de RDS se deben implementar en una VPC.

Descripción: las VPN proporcionan una serie de controles de red para proteger el acceso a los recursos de RDS. Estos controles incluyen puntos de conexión de VPC, ACL de red y grupos de seguridad. Para aprovechar estos controles, se recomienda que mueva las instancias de EC2-Classic RDS a EC2-VPC.

Gravedad: baja

Los depósitos de S3 deben requerir solicitudes para usar la Capa de sockets seguros.

Descripción: Se recomienda solicitar que usen Secure Socket Layer (SSL) en todos los cubos de Amazon S3. Los cubos de S3 deben tener directivas que requieran todas las solicitudes ("Action: S3:*") para aceptar solo la transmisión de datos a través de HTTPS en la directiva de recursos de S3, indicada por la clave de condición "aws:SecureTransport".

Gravedad: media

Los grupos de seguridad no deben permitir la entrada de 0.0.0.0/0 al puerto 22.

Descripción: para reducir la exposición del servidor, se recomienda no permitir el acceso de entrada sin restricciones al puerto "22".

Gravedad: alta

Los grupos de seguridad no deben permitir el acceso sin restricciones a los puertos con riesgo alto.

Descripción: este control comprueba si el tráfico entrante no restringido para los grupos de seguridad es accesible para los puertos especificados que tienen el riesgo más alto. Este control se pasa cuando ninguna de las reglas de un grupo de seguridad permite el tráfico de entrada desde 0.0.0.0/0 para esos puertos. El acceso sin restricciones (0.0.0.0/0) aumenta las oportunidades de actividades malintencionadas, como la piratería, los ataques por denegación de servicio y la pérdida de datos. Los grupos de seguridad proporcionan el filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. Ningún grupo de seguridad debe permitir el acceso de entrada sin restricciones a los puertos siguientes:

• 3389 (RDP)
• 20, 21 (FTP)
• 22 (SSH)
• 23 (Telnet)
• 110 (POP3)
• 143 (IMAP)
• 3306 (MySQL)
• 8080 (proxy)
• 1433, 1434 (MSSQL)
• 9200 o 9300 (Elasticsearch)
• 5601 (Kibana)
• 25 (SMTP)
• 445 (CIFS)
• 135 (RPC)
• 4333 (ahsp)
• 5432 (postgresql)
• 5500 (fcp-addr-srvr1)

Gravedad: media

Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones para los puertos autorizados.

Descripción: este control comprueba si los grupos de seguridad que están en uso permiten el tráfico entrante sin restricciones. Opcionalmente, la regla comprueba si los números de puerto aparecen en el parámetro "authorizedTcpPorts".

• Si el número de puerto de regla de grupo de seguridad permite el tráfico entrante sin restricciones, pero el número de puerto se especifica en "authorizedTcpPorts", el control pasa. El valor predeterminado de "authorizedTcpPorts" es 80, 443.
• Si el número de puerto de regla de grupo de seguridad permite el tráfico entrante sin restricciones, pero el número de puerto no se especifica en el parámetro de entrada authorizedTcpPorts, se produce un error en el control.
• Si no se usa el parámetro , se produce un error en el control para cualquier grupo de seguridad que tenga una regla de entrada sin restricciones. Los grupos de seguridad proporcionan el filtrado con estado del tráfico de red de entrada y salida a AWS. Las reglas del grupo de seguridad deben seguir el principio de acceso con privilegios mínimos. El acceso sin restricciones (dirección IP con un sufijo /0) aumenta la oportunidad de actividades malintencionadas como la piratería, los ataques por denegación de servicio y la pérdida de datos. A menos que se permita específicamente un puerto, el puerto debe denegar el acceso sin restricciones.

Gravedad: alta

Se deben quitar los EIP de EC2 sin usar.

Descripción: las direcciones IP elásticas que se asignan a una VPC deben adjuntarse a instancias de Amazon EC2 o interfaces de red elásticas (ENIs).

Gravedad: baja

Se deben quitar las listas de control de acceso de red no utilizadas.

Descripción: este control comprueba si hay listas de control de acceso de red (ACL) sin usar. El control comprueba la configuración del elemento del recurso "AWS::EC2::NetworkAcl" y determina las relaciones de la ACL de red. Si la única relación es la VPC de la ACL de red, se produce un error en el control. Si aparecen otras relaciones, el control pasa.

Gravedad: baja

El grupo de seguridad predeterminado de VPC debe restringir todo el tráfico.

Descripción: el grupo de seguridad debe restringir todo el tráfico para reducir la exposición de los recursos.

Gravedad: baja

Recomendaciones de redes de GCP

Los hosts de clústeres deben estar configurados con el fin de usar solo direcciones IP internas privadas para acceder a las API de Google.

Descripción: esta recomendación evalúa si la propiedad privateIpGoogleAccess de una subred está establecida en false.

Gravedad: alta

Las instancias de Compute deben usar un equilibrador de carga configurado para usar un proxy HTTPS de destino.

Descripción: esta recomendación evalúa si la propiedad selfLink del recurso targetHttpProxy coincide con el atributo de destino en la regla de reenvío y si la regla de reenvío contiene un campo loadBalancingScheme establecido en Externo.

Gravedad: media

Las redes autorizadas del plano de control deben estar habilitadas en los clústeres de GKE.

Descripción: esta recomendación evalúa la propiedad masterAuthorizedNetworksConfig de un clúster para el par clave-valor, "enabled": false.

Gravedad: alta

La regla de denegación de salida debe establecerse en un firewall para bloquear el tráfico saliente no deseado.

Descripción: esta recomendación evalúa si la propiedad destinationRanges del firewall está establecida en 0.0.0.0/0 y la propiedad denegada contiene el par clave-valor, 'IPProtocol': 'all.'

Gravedad: baja

Asegúrese de que las reglas de firewall para las instancias subyacentes del proxy compatible con la identidad (IAP) solo permitan el tráfico de la comprobación de estado de Google Cloud Loadbalancer (GCLB) y las direcciones de proxy.

Descripción: las reglas de firewall deben restringir el acceso a las máquinas virtuales que solo permiten el tráfico de IAP asegurándose de que solo se permiten conexiones proxy por parte del IAP. Para asegurarse de que el equilibrio de carga funcione correctamente, también se deben permitir las comprobaciones de estado. IAP garantiza que el acceso a las máquinas virtuales se controla mediante la autenticación de solicitudes entrantes. Sin embargo, si la máquina virtual sigue siendo accesible desde direcciones IP distintas del IAP, es posible que siga siendo posible enviar solicitudes no autenticadas a la instancia. Se debe tener cuidado para asegurarse de que las comprobaciones de estado de loadblancer no estén bloqueadas, ya que esto impediría que el equilibrador de carga sepa correctamente el estado de la máquina virtual y el equilibrio de carga.

Gravedad: media

Asegúrese de que no existen redes heredadas para un proyecto.

Descripción: para evitar el uso de redes heredadas, un proyecto no debe tener configurada una red heredada. Las redes heredadas tienen un único intervalo de prefijos IPv4 de red y una única dirección IP de puerta de enlace para toda la red. La red es global en el ámbito y abarca todas las regiones de la nube. Las subredes no se pueden crear en una red heredada y no pueden cambiar de redes de subredes heredadas a personalizadas o automáticas. Las redes heredadas pueden tener un impacto en proyectos con tráfico de red elevado y están sujetas a un único punto de contención o error.

Gravedad: media

Asegúrese de que la marca de base de datos "log_hostname" para la instancia de PostgreSQL de Cloud SQL esté establecida correctamente.

Descripción: PostgreSQL registra solo la dirección IP de los hosts de conexión. La marca "log_hostname" controla el registro de los "nombres de host" además de las direcciones IP registradas. El impacto en el rendimiento depende de la configuración del entorno y de la configuración de la resolución de nombres de host. Este parámetro solo se puede establecer en el archivo "postgresql.conf" o en la línea de comandos del servidor. El registro de los nombres de host puede suponer una sobrecarga en el rendimiento del servidor, ya que para cada instrucción registrada, se requerirá la resolución DNS para convertir la dirección IP en el nombre de host. En función de la configuración, esto podría ser insignificante. Además, las direcciones IP que se registran se pueden resolver en sus nombres DNS más adelante al revisar los registros, excepto los casos en los que se usan nombres de host dinámicos. Esta recomendación es aplicable a las instancias de base de datos PostgreSQL.

Gravedad: baja

Asegúrese de que ningún equilibrador de carga de proxy HTTPS o SSL permita directivas SSL con conjuntos de cifrado débiles.

Descripción: las directivas de capa de sockets seguros (SSL) determinan qué características de los clientes de seguridad de la capa de transporte (TLS) de puerto pueden usar al conectarse a equilibradores de carga. Para evitar el uso de características no seguras, las directivas SSL deben usar (a) al menos TLS 1.2 con el perfil MODERNO; o (b) el perfil RESTRINGIDO, ya que requiere de forma eficaz que los clientes usen TLS 1.2 independientemente de la versión mínima de TLS elegida; o (3) un perfil PERSONALIZADO que no admite ninguna de las siguientes características: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

Los equilibradores de carga se usan para distribuir eficazmente el tráfico entre varios servidores. Tanto el proxy SSL como los equilibradores de carga HTTPS son equilibradores de carga externos, lo que significa que distribuyen el tráfico desde Internet a una red de GCP. Los clientes de GCP pueden configurar directivas SSL del equilibrador de carga con una versión mínima de TLS (1.0, 1.1 o 1.2) que los clientes pueden usar para establecer una conexión, junto con un perfil (compatible, moderno, restringido o personalizado) que especifica los conjuntos de cifrado permitidos. Para cumplir con los usuarios que usan protocolos obsoletos, los equilibradores de carga de GCP se pueden configurar para permitir conjuntos de cifrado no seguros. De hecho, la directiva SSL predeterminada de GCP usa una versión mínima de TLS de 1.0 y un perfil compatible, que permite la gama más amplia de conjuntos de cifrado no seguros. Como resultado, es fácil que los clientes configuren un equilibrador de carga sin saber que permiten conjuntos de cifrado obsoletos.

Gravedad: media

Asegúrese de que el registro de Cloud DNS esté habilitado para todas las redes VPC.

Descripción: el registro dns en la nube registra las consultas de los servidores de nombres de la VPC en Stackdriver. Las consultas registradas pueden proceder de máquinas virtuales de Compute Engine, contenedores de GKE u otros recursos de GCP aprovisionados en la VPC. La supervisión de seguridad y los análisis forenses no pueden depender únicamente de las direcciones IP de los registros de flujo de VPC, especialmente al considerar el uso dinámico de IP de los recursos en la nube, el enrutamiento de host virtual HTTP y otra tecnología que puede ocultar el nombre DNS usado por un cliente de la dirección IP. La supervisión de los registros de Cloud DNS proporciona visibilidad sobre los nombres DNS solicitados por los clientes dentro de la VPC. Estos registros se pueden supervisar en busca de nombres de dominio anómalos, evaluarse con la inteligencia sobre amenazas y

Para obtener una captura completa de DNS, el firewall debe bloquear la salida UDP/53 (DNS) y TCP/443 (DNS a través de HTTPS) para evitar que el cliente use el servidor de nombres DNS externo para la resolución.

Gravedad: alta

Asegúrese de que DNSSEC esté habilitado para Cloud DNS.

Descripción: El sistema de nombres de dominio en la nube (DNS) es un sistema de nombres de dominio rápido, confiable y rentable que impulsa millones de dominios en Internet. Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) de Cloud DNS permiten a los propietarios del dominio tomar medidas fáciles para proteger sus dominios contra el secuestro de DNS, los ataques de tipo "man in the middle" y otros ataques. Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) agregan seguridad al protocolo DNS; para ello, habilitan la validación de las respuestas DNS. Tener un DNS de confianza que traduce un nombre de dominio como www.example.com en su dirección IP asociada es un bloque de creación cada vez más importante de las aplicaciones basadas en web actuales. Los atacantes pueden secuestrar este proceso de búsqueda de dominio y dirección IP, y redirigir a los usuarios a un sitio malintencionado mediante el secuestro de DNS y los ataques de tipo "man in the middle". DNSSEC ayuda a mitigar el riesgo de estos ataques mediante la firma criptográfica de los registros DNS. Como resultado, impide que los atacantes emita respuestas DNS falsas que podrían desviar de forma incorrecta los exploradores a sitios web malintenciones.

Gravedad: media

Asegúrese de que el acceso RDP esté restringido desde Internet.

Descripción: las reglas de firewall de GCP son específicas de una red de VPC. Cada regla permite o deniega el tráfico cuando se cumplen sus condiciones. Sus condiciones permiten a los usuarios especificar el tipo de tráfico, como los puertos y protocolos, y el origen o destino del tráfico, incluidas las direcciones IP, las subredes y las instancias. Las reglas de firewall se definen en el nivel de red de vpc y son específicas de la red en la que se definen. Las propias reglas no se pueden compartir entre redes. Las reglas de firewall solo admiten el tráfico IPv4. Cuando se especifica un origen para una regla de entrada o un destino para una regla de salida por dirección, se puede usar un bloque IPv4 o IPv4 en notación CIDR. Se puede evitar el tráfico entrante genérico (0.0.0.0/0) desde Internet a una VPC o una instancia de máquina virtual mediante RDP en el puerto 3389. Reglas de firewall de GCP dentro de una red VPC. Estas reglas se aplican al tráfico saliente (salida) desde las instancias y el tráfico entrante (entrada) a las instancias de la red. Los flujos de tráfico de entrada y salida se controlan incluso si el tráfico permanece dentro de la red (por ejemplo, la comunicación de instancia a instancia). Para que una instancia tenga acceso saliente a Internet, la red debe tener una ruta válida de puerta de enlace de Internet o una ruta personalizada cuya dirección IP de destino se especifique. Esta ruta simplemente define la ruta de acceso a Internet para evitar el intervalo IP de destino más general (0.0.0.0/0) especificado desde Internet mediante RDP con el puerto predeterminado 3389. Se debe restringir el acceso genérico desde Internet a un intervalo IP específico.

Gravedad: alta

Asegúrese de que no se use RSASHA1 para la clave de firma de claves en Cloud DNS DNSSEC.

Descripción: los números de algoritmo DNSSEC de este registro se pueden usar en RR cert. La firma de zona (DNSSEC) y los mecanismos de seguridad de transacciones (SIG(0) y TSIG) usan subconjuntos específicos de estos algoritmos. El algoritmo que se usa para la firma de claves debe ser uno recomendado y debe ser seguro. Los números de algoritmo de extensiones de seguridad del sistema de nombres de dominio (DNSSEC) de este registro se pueden usar en RR cert. La firma de zona (DNSSEC) y los mecanismos de seguridad de transacciones (SIG(0) y TSIG) usan subconjuntos específicos de estos algoritmos. El algoritmo que se usa para la firma de claves debe ser uno recomendado y debe ser seguro. Al habilitar DNSSEC para una zona administrada o crear una zona administrada con DNSSEC, el usuario puede seleccionar los algoritmos de firma DNSSEC y el tipo de denegación de existencia. El cambio de la configuración de DNSSEC solo es efectivo para una zona administrada si DNSSEC aún no está habilitado. Si es necesario cambiar la configuración de una zona administrada en la que se ha habilitado, desactive DNSSEC y vuelva a habilitarla con una configuración diferente.

Gravedad: media

Asegúrese de que no se use RSASHA1 para la clave de firma de zona en Cloud DNS DNSSEC.

Descripción: los números de algoritmo DNSSEC de este registro se pueden usar en RR cert. La firma de zona (DNSSEC) y los mecanismos de seguridad de transacciones (SIG(0) y TSIG) usan subconjuntos específicos de estos algoritmos. El algoritmo que se usa para la firma de claves debe ser uno recomendado y debe ser seguro. Los números de algoritmo DNSSEC de este registro se pueden usar en RR cert. La firma de zona (DNSSEC) y los mecanismos de seguridad de transacciones (SIG(0) y TSIG) usan subconjuntos específicos de estos algoritmos. El algoritmo que se usa para la firma de claves debe ser uno recomendado y debe ser seguro. Al habilitar DNSSEC para una zona administrada o crear una zona administrada con DNSSEC, se pueden seleccionar los algoritmos de firma DNSSEC y el tipo de denegación de existencia. El cambio de la configuración de DNSSEC solo es efectivo para una zona administrada si DNSSEC aún no está habilitado. Si la necesidad existe para cambiar la configuración de una zona administrada en la que se ha habilitado, desactive DNSSEC y vuelva a habilitarla con una configuración diferente.

Gravedad: media

Asegúrese de que esté restringido el acceso SSH desde Internet.

Descripción: las reglas de firewall de GCP son específicas de una red de VPC. Cada regla permite o deniega el tráfico cuando se cumplen sus condiciones. Sus condiciones permiten al usuario especificar el tipo de tráfico, como los puertos y protocolos, y el origen o destino del tráfico, incluidas las direcciones IP, las subredes y las instancias. Las reglas de firewall se definen en el nivel de red de vpc y son específicas de la red en la que se definen. Las propias reglas no se pueden compartir entre redes. Las reglas de firewall solo admiten el tráfico IPv4. Cuando se especifica un origen para una regla de entrada o un destino para una regla de salida por dirección, solo se puede usar un bloque IPv4 o IPv4 en notación CIDR. Se puede evitar el tráfico entrante genérico (0.0.0.0/0) desde Internet a una VPC o una instancia de máquina virtual mediante SSH en el puerto 22. Las reglas de firewall de GCP dentro de una red VPC se aplican al tráfico saliente (salida) desde las instancias y el tráfico entrante (entrada) a las instancias de la red. Los flujos de tráfico de entrada y salida se controlan incluso si el tráfico permanece dentro de la red (por ejemplo, la comunicación de instancia a instancia). Para que una instancia tenga acceso saliente a Internet, la red debe tener una ruta válida de puerta de enlace de Internet o una ruta personalizada cuya dirección IP de destino se especifique. Esta ruta simplemente define la ruta de acceso a Internet para evitar el intervalo ip de destino más general (0.0.0.0/0) especificado desde Internet a través de SSH con el puerto predeterminado '22'. Se debe restringir el acceso genérico desde Internet a un intervalo IP específico.

Gravedad: alta

Asegúrese de que la red predeterminada no exista en un proyecto.

Descripción: para evitar el uso de la red "predeterminada", un proyecto no debe tener una red "predeterminada". La red predeterminada tiene una configuración de red preconfigurada y genera automáticamente las siguientes reglas de firewall no seguras:

• default-allow-internal: permite conexiones de entrada para todos los protocolos y puertos entre instancias de la red.
• default-allow-ssh: permite conexiones de entrada en el puerto TCP 22 (SSH) desde cualquier origen a cualquier instancia de la red.
• default-allow-rdp: permite conexiones de entrada en el puerto TCP 3389 (RDP) desde cualquier origen a cualquier instancia de la red.
• default-allow-icmp: permite el tráfico ICMP de entrada desde cualquier origen a cualquier instancia de la red.

Estas reglas de firewall creadas automáticamente no obtienen la auditoría registrada y no se pueden configurar para habilitar el registro de reglas de firewall. Además, la red predeterminada es una red en modo automático, lo que significa que sus subredes usan el mismo intervalo predefinido de direcciones IP y, como resultado, no es posible usar Cloud VPN ni el emparejamiento de redes VPC con la red predeterminada. En función de los requisitos de seguridad y red de la organización, la organización debe crear una nueva red y eliminar la red predeterminada.

Gravedad: media

Asegúrese de que haya un filtro de métricas de registro y alertas para detectar los cambios hechos en la red VPC.

Descripción: se recomienda establecer un filtro de métricas y una alarma para los cambios de red de la nube privada virtual (VPC). Es posible tener más de una VPC dentro de un proyecto. Además, también es posible crear una conexión del mismo nivel entre dos VPN, lo que permite que el tráfico de red se enrute entre las VPN. La supervisión de los cambios en una VPC ayudará a garantizar que el flujo de tráfico de la VPC no se vea afectado.

Gravedad: baja

Asegúrese de que haya un filtro de métricas de registro y alertas para detectar los cambios hechos en las reglas de firewall de red de VPC.

Descripción: se recomienda establecer un filtro de métricas y una alarma para los cambios en las reglas de firewall de red de la nube privada virtual (VPC). La supervisión de eventos de reglas de firewall de creación o actualización proporciona información sobre los cambios de acceso a la red y puede reducir el tiempo necesario para detectar actividades sospechosas.

Gravedad: baja

Asegúrese de que haya un filtro de métricas de registro y alertas para detectar los cambios hechos en la ruta de red VPC.

Descripción: se recomienda establecer un filtro de métricas y una alarma para los cambios de ruta de red de la nube privada virtual (VPC). Las rutas de Google Cloud Platform (GCP) definen las rutas de acceso que toma el tráfico de red de una instancia de máquina virtual a otro destino. El otro destino puede estar dentro de la red VPC de la organización (por ejemplo, otra máquina virtual) o fuera de ella. Cada ruta consta de un destino y un próximo salto. El tráfico cuya dirección IP de destino se encuentre dentro del intervalo de destino se envía al próximo salto para su entrega. La supervisión de los cambios en las tablas de enrutamiento ayudará a garantizar que todo el tráfico de VPC fluye a través de una ruta de acceso esperada.

Gravedad: baja

Asegúrese de que la marca de la base de datos "log_connections" para la instancia de PostgreSQL de Cloud SQL esté establecida en "activada".

Descripción: habilitar la configuración de log_connections hace que se registre cada conexión intentada con el servidor, junto con la finalización correcta de la autenticación de cliente. Este parámetro no se puede cambiar después de que se inicie la sesión. PostgreSQL no registra las conexiones intentadas de forma predeterminada. Al habilitar la configuración de log_connections, se crearán entradas de registro para cada conexión intentada, así como la finalización correcta de la autenticación de cliente, lo que puede resultar útil para solucionar problemas y determinar los intentos de conexión inusuales al servidor. Esta recomendación es aplicable a las instancias de base de datos PostgreSQL.

Gravedad: media

Asegúrese de que la marca de la base de datos "log_disconnections" para la instancia de PostgreSQL de Cloud SQL esté establecida en "activada".

Descripción: habilitar la configuración de log_disconnections registra el final de cada sesión, incluida la duración de la sesión. PostgreSQL no registra los detalles de la sesión, como la duración y el final de la sesión de forma predeterminada. Al habilitar la configuración de log_disconnections, se crearán entradas de registro al final de cada sesión, lo que puede resultar útil para solucionar problemas y determinar cualquier actividad inusual durante un período de tiempo. Las opciones log_disconnections y log_connections funcionan en conjunto y, por lo general, ambas se habilitarían o deshabilitarían juntas. Esta recomendación es aplicable a las instancias de base de datos PostgreSQL.

Gravedad: media

Asegúrese de que los registros de flujo de VPC estén habilitados para todas las subredes de una red VPC.

Descripción: Los registros de flujo son una característica que permite a los usuarios capturar información sobre el tráfico IP que va a y desde interfaces de red en las subredes vpc de la organización. Una vez creado un registro de flujo, el usuario puede ver y recuperar sus datos en el registro de Stackdriver. Se recomienda habilitar los registros de flujo para cada subred de VPC crítica para la empresa. Las redes y subredes de VPC proporcionan particiones de red lógicamente aisladas y seguras donde se pueden iniciar los recursos de GCP. Cuando los registros de flujo están habilitados para una subred, las máquinas virtuales de esa subred comienzan a informar sobre todos los flujos del Protocolo de control de transmisión (TCP) y el Protocolo de datagramas de usuario (UDP). Cada máquina virtual muestrea los flujos TCP y UDP que ve, entrantes y salientes, si el flujo es hacia o desde otra máquina virtual, un host en el centro de datos local, un servicio de Google o un host en Internet. Si se comunican dos máquinas virtuales de GCP y ambas están en subredes que tienen habilitados los registros de flujo de VPC, ambas máquinas virtuales notifican los flujos. Los registros de flujo admiten los siguientes casos de uso: 1. Supervisión de la red. 2. Conocimiento del uso de la red y optimización de los gastos del tráfico de red. 3. Análisis forenses de la red. 4. Los registros de flujo de análisis de seguridad en tiempo real proporcionan visibilidad del tráfico de red para cada máquina virtual dentro de la subred y se pueden usar para detectar tráfico anómalo o información durante los flujos de trabajo de seguridad.

Gravedad: baja

El registro de reglas de firewall debe estar habilitado.

Descripción: esta recomendación evalúa la propiedad logConfig en los metadatos del firewall para ver si está vacía o contiene el par clave-valor "enable": false.

Gravedad: media

El firewall no debe configurarse para que esté abierto al acceso público.

Descripción: esta recomendación evalúa las propiedades sourceRanges y permitidas para una de estas dos configuraciones:

La propiedad sourceRanges contiene 0.0.0.0/0 y la propiedad allowed contiene una combinación de reglas que incluye cualquier protocolo o protocolo:puerto, excepto los siguientes:

• icmp
• tcp: 22
• tcp: 443
• tcp: 3389
• udp: 3389
• sctp: 22

La propiedad sourceRanges contiene una combinación de intervalos IP que incluye cualquier dirección IP no privada y la propiedad permitida contiene una combinación de reglas que permiten todos los puertos tcp o todos los puertos udp.

Gravedad: alta

El firewall no debe configurarse para tener un puerto CASSANDRA abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa la propiedad permitida en los metadatos del firewall para los siguientes protocolos y puertos: TCP: 7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

Gravedad: baja

El firewall no debe configurarse para tener un puerto CISCOSECURE_WEBSM abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa la propiedad permitida en los metadatos del firewall para el siguiente protocolo y puerto: TCP: 9090.

Gravedad: baja

El firewall no debe configurarse para tener un puerto DIRECTORY_SERVICES abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa la propiedad permitida en los metadatos del firewall para los siguientes protocolos y puertos: TCP: 445 y UDP: 445.

Gravedad: baja

El firewall no debe configurarse para tener un puerto DNS abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa la propiedad permitida en los metadatos del firewall para los siguientes protocolos y puertos: TCP: 53 y UDP: 53.

Gravedad: baja

El firewall no debe configurarse para tener un puerto ELASTICSEARCH abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa la propiedad permitida en los metadatos del firewall para los siguientes protocolos y puertos: TCP: 9200, 9300.

Gravedad: baja

El firewall no debe configurarse para tener un puerto FTP abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa la propiedad permitida en los metadatos del firewall para el siguiente protocolo y puerto: TCP: 21.

Gravedad: baja

El firewall no debe configurarse para tener un puerto HTTP abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa la propiedad permitida en los metadatos del firewall para los siguientes protocolos y puertos: TCP: 80.

Gravedad: baja

El firewall no debe configurarse para tener un puerto LDAP abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa la propiedad permitida en los metadatos del firewall para los siguientes protocolos y puertos: TCP: 389, 636 y UDP: 389.

Gravedad: baja

El firewall no debe configurarse para tener un puerto MEMCACHED abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa la propiedad permitida en los metadatos del firewall para los siguientes protocolos y puertos: TCP: 11211, 11214-11215 y UDP: 11211, 11214-11215.

Gravedad: baja

El firewall no debe configurarse para tener un puerto MONGODB abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa la propiedad permitida en los metadatos del firewall para los siguientes protocolos y puertos: TCP: 27017-27019.

Gravedad: baja

El firewall no debe configurarse para tener un puerto MYSQL abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa la propiedad permitida en los metadatos del firewall para el siguiente protocolo y puerto: TCP: 3306.

Gravedad: baja

El firewall no debe configurarse para tener un puerto NETBIOS abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa la propiedad permitida en los metadatos del firewall para los siguientes protocolos y puertos: TCP: 137-139 y UDP: 137-139.

Gravedad: baja

El firewall no debe configurarse para tener un puerto ORACLEDB abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa la propiedad permitida en los metadatos del firewall para los siguientes protocolos y puertos: TCP: 1521, 2483-2484 y UDP: 2483-2484.

Gravedad: baja

El firewall no debe configurarse para tener un puerto POP3 abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa la propiedad permitida en los metadatos del firewall para el siguiente protocolo y puerto: TCP: 110.

Gravedad: baja

El firewall no debe configurarse para tener un puerto PostgreSQL abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa la propiedad permitida en los metadatos del firewall para los siguientes protocolos y puertos: TCP: 5432 y UDP: 5432.

Gravedad: baja

El firewall no debe configurarse para tener un puerto REDIS abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa si la propiedad permitida en los metadatos del firewall contiene el siguiente protocolo y puerto: TCP: 6379.

Gravedad: baja

El firewall no debe configurarse para tener un puerto SMTP abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa si la propiedad permitida en los metadatos del firewall contiene el siguiente protocolo y puerto: TCP: 25.

Gravedad: baja

El firewall no debe configurarse para tener un puerto SSH abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa si la propiedad permitida en los metadatos del firewall contiene los siguientes protocolos y puertos: TCP: 22 y SCTP: 22.

Gravedad: baja

El firewall no debe configurarse para tener un puerto TELNET abierto que permita el acceso genérico.

Descripción: esta recomendación evalúa si la propiedad permitida en los metadatos del firewall contiene el siguiente protocolo y puerto: TCP: 23.

Gravedad: baja

Los clústeres de GKE deben tener habilitados los intervalos IP de alias.

Descripción: esta recomendación evalúa si el campo useIPAliases de ipAllocationPolicy en un clúster está establecido en false.

Gravedad: baja

Los clústeres de GKE deben tener habilitados los clústeres privados.

Descripción: esta recomendación evalúa si el campo enablePrivateNodes de la propiedad privateClusterConfig está establecido en false.

Gravedad: alta

La directiva de red debe estar habilitada en los clústeres de GKE.

Descripción: esta recomendación evalúa el campo networkPolicy de la propiedad addonsConfig para el par clave-valor, "disabled": true.

Gravedad: media

Contenido relacionado

• ¿Qué son las directivas de seguridad, las iniciativas y las recomendaciones?
• Examen de las recomendaciones de seguridad