Usar Plantillas Estándar de Configuración de Endurecimiento para Infraestructura de Aplicaciones
Descripción
Usar plantillas estándar de configuración de endurecimiento recomendadas por la industria para componentes de infraestructura de aplicaciones. Esto incluye servidores subyacentes, bases de datos y servidores web, y se aplica a contenedores en la nube, componentes de Plataforma como Servicio (PaaS) y componentes SaaS. No permitir que el software desarrollado internamente debilite el endurecimiento de la configuración.
Lista de Verificación de Implementación
Herramientas Recomendadas
Herramienta automatizada de evaluación de CIS Benchmark para escaneo de cumplimiento de configuración en sistemas operativos, aplicaciones y nube
Center for Internet Security · Membresía CIS SecureSuite
Plataforma de evaluación de configuración y cumplimiento basada en la nube con soporte de CIS Benchmark y monitoreo continuo
Qualys · Suscripción por activo
Plataforma de gestión de configuración de seguridad y monitoreo de integridad de archivos con cumplimiento de políticas y detección de desviaciones
Fortra (Tripwire) · Suscripción por nodo
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Credenciales Predeterminadas en Componentes de Infraestructura de Aplicación
ConfidencialidadUn atacante obtiene acceso a un servidor de base de datos o plataforma de aplicación web usando credenciales predeterminadas que nunca se cambiaron porque no se aplicaron plantillas de configuración de refuerzo durante la implementación.
Explotación de Servicios Innecesarios en Servidor de Aplicación
IntegridadUn atacante explota una vulnerabilidad en un servicio innecesario ejecutándose en un servidor web que fue implementado con una configuración predeterminada en lugar de una plantilla reforzada.
Contenedor en la Nube Ejecutándose con Privilegios Excesivos
ConfidencialidadUn contenedor implementado sin una plantilla de refuerzo se ejecuta como root con todas las capacidades habilitadas, y un atacante explota una vulnerabilidad de escape de contenedor para acceder al host subyacente.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Infraestructura de Aplicación Implementada con Configuraciones Predeterminadas
Sin plantillas de refuerzo, la infraestructura de aplicación incluyendo servidores, bases de datos y contenedores se implementa con configuraciones predeterminadas que incluyen servicios innecesarios, credenciales predeterminadas y permisos excesivos.
Sin Línea Base de Seguridad Estandarizada para Componentes de Aplicación
La ausencia de plantillas de refuerzo recomendadas por la industria significa que cada implementación puede tener una configuración de seguridad diferente y frecuentemente insuficiente, creando superficies de ataque inconsistentes e impredecibles.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |