保護DataHogo
Enciclopedia de Seguridad/Seguridad en Cloud Providers
info

Recurso Cloud Sin Etiquetas

Tus recursos cloud carecen de etiquetas de entorno, propietario o centro de costos, haciendo imposible rastrear la propiedad, asignar costos o identificar rápidamente recursos durante un incidente.

Cómo Funciona

Las etiquetas son pares clave-valor de metadatos adjuntos a los recursos cloud. Sin ellas, un incidente de seguridad se convierte en un juego de adivinanzas: '¿de quién es esta instancia EC2? ¿Está en producción? ¿A quién llamo?' La asignación de costos se vuelve imposible. Las auditorías de cumplimiento fallan. Los recursos huérfanos se acumulan y sigues pagando por ellos. El etiquetado es pura higiene operacional sin desventajas.

Código Vulnerable
# MAL: recursos desplegados sin ninguna etiqueta (Terraform)
resource "aws_instance" "app" {
  ami           = "ami-0c55b159cbfafe1f0"
  instance_type = "t3.medium"
  # Sin etiquetas — invisible en reportes de costos, propiedad desconocida
}
Código Seguro
# BIEN: estrategia de etiquetado consistente
resource "aws_instance" "app" {
  ami           = "ami-0c55b159cbfafe1f0"
  instance_type = "t3.medium"
  tags = {
    Environment = "production"
    Owner       = "backend-team"
    CostCenter  = "product-eng"
    ManagedBy   = "terraform"
  }
}

Ejemplo Real

Después de un incidente de seguridad, un equipo pasó 4 horas tratando de identificar todos los recursos pertenecientes a un servicio comprometido porque nada estaba etiquetado. Lo que debería haber sido una contención de 10 minutos se convirtió en un juego de adivinanzas de varias horas a través de tres cuentas AWS.

Cómo Prevenirlo

  • Define una política de etiquetado a nivel de empresa con etiquetas requeridas: Environment, Owner, CostCenter, ManagedBy
  • Usa la regla de AWS Config required-tags para forzar el cumplimiento de etiquetado automáticamente
  • Agrega etiquetas a los defaults de variables de Terraform para que los nuevos recursos sean etiquetados automáticamente
  • Usa la asignación de costos basada en etiquetas de AWS Cost Explorer para rastrear el gasto por equipo o proyecto
  • Implementa condiciones IAM basadas en etiquetas para restringir el acceso a recursos por etiqueta de entorno

Tecnologías Afectadas

Node.jsPython

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Bucket S3 con Acceso Público

critical

Tu bucket de S3 es públicamente legible debido a un ACL público, configuración de Block Public Access deshabilitada o una política de bucket con wildcard — cualquiera en internet puede listar y descargar tus archivos.

CWE-284OWASP A05:2021

SSRF a Metadata de Cloud

critical

Tu app hace fetch de URLs proporcionadas por el usuario sin bloquear endpoints de metadata de cloud como 169.254.169.254, dejando a los atacantes robar tus credenciales cloud vía SSRF.

CWE-918OWASP A10:2021

Credenciales AWS Hardcodeadas

critical

Las claves de acceso de AWS (que empiezan con AKIA) o las claves de acceso secretas están hardcodeadas en tu código fuente, dando a cualquiera que lea el código acceso completo a tu cuenta de AWS.

CWE-798OWASP A02:2021

Política IAM Excesivamente Permisiva

high

Tu política IAM usa Action: '*' o Resource: '*', otorgando muchos más permisos de los necesarios y convirtiendo cualquier fuga de credenciales en una toma de control completa de la cuenta.

CWE-269OWASP A01:2021