Prácticas recomendadas de detección de seguridad en DynamoDB

Las siguientes prácticas recomendadas para Amazon DynamoDB le pueden ser de utilidad para detectar los incidentes y los posibles puntos débiles de la seguridad.

Utilice AWS CloudTrail para monitorear el uso de la clave KMS administrada por AWS

Si está utilizando una Clave administrada de AWS para el cifrado en reposo, el uso de esta clave queda registrado en AWS CloudTrail. CloudTrail proporciona visibilidad de la actividad del usuario mediante el registro de las acciones realizadas en su cuenta. CloudTrail registra información importante acerca de cada acción, incluyendo quién hizo la solicitud, los servicios utilizados, las acciones realizadas, los parámetros de las acciones y los elementos de respuesta devueltos por el servicio de AWS. Esta información le ayuda a realizar un seguimiento de los cambios realizados en sus recursos de AWS y solucionar problemas operativos. CloudTrail facilita la conformidad con las políticas internas y las normas reglamentarias.

Puede utilizar CloudTrail para auditar el uso de las claves. CloudTrail crea archivos de registro que contienen un historial de las llamadas a la API de AWS y de los eventos relacionados de su cuenta. Estos archivos de registro incluyen todas las solicitudes a la API de AWS KMS realizadas con la AWS Management Console, los SDK de AWS y las herramientas de la línea de comandos, así como las efectuadas a través de los servicios de AWS integrados. Puede utilizar estos archivos de registro para obtener información sobre cuándo se utilizó la clave KMS, la operación que se solicitó, la identidad del solicitante, la dirección IP de la que procede la solicitud, etc. Para obtener más información, consulte Registro de llamadas a la API de AWS KMS con AWS CloudTrail en la Guía del usuario de AWS CloudTrail.

Monitorear las operaciones de DynamoDB con CloudTrail

CloudTrail puede monitorear tanto los eventos del plano de control como los eventos del plano de datos. Las operaciones del plano de control le permiten crear y administrar tablas de DynamoDB. También permiten usar índices, secuencias y otros objetos que dependen de las tablas. Las operaciones del plano de datos le permiten llevar a cabo acciones de creación, lectura, actualización y eliminación (también denominadas CRUD, por sus siglas en inglés) con los datos de una tabla. Algunas de las operaciones del plano de datos permiten también leer datos de un índice secundario. Para habilitar el registro de eventos de plano de datos en CloudTrail, deberá habilitar el registro de la actividad de la API del plano de datos en CloudTrail. Para obtener más información, consulte Registro de eventos de datos para seguimiento.

Cuando se produce una actividad en DynamoDB, esa actividad se registra en un evento de CloudTrail junto con otros eventos de servicio de AWS en el historial de eventos. Para obtener más información, consulte Registro de operaciones de DynamoDB mediante AWS CloudTrail. Puede ver, buscar y descargar los últimos eventos de la cuenta de AWS. Para obtener más información, consulte Ver eventos con el historial de eventos de CloudTrail en la Guía del usuario de AWS CloudTrail.

Para mantener un registro continuo de eventos en la cuenta de AWS, incluyendo los eventos de DynamoDB, cree un seguimiento. Un seguimiento habilita a CloudTrail a enviar archivos de registro a un bucket de Amazon Simple Storage Service (Amazon S3). De forma predeterminada, cuando se crea un registro de seguimiento en la consola, este se aplica a todas las regiones de AWS. El registro de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucket de S3 especificado. También es posible configurar otros servicios de AWS para analizar en profundidad y actuar en función de los datos de eventos recopilados en los registros de CloudTrail.

Utilice DynamoDB Streams para monitorear las operaciones del plano de datos

DynamoDB se integra con AWS Lambda para que pueda crear desencadenadores, a saber, fragmentos de código que responden automáticamente a los eventos de DynamoDB Streams. Con los desencadenadores, puede crear aplicaciones que reaccionan ante las modificaciones de datos en las tablas de DynamoDB.

Si habilita DynamoDB Streams en una tabla, puede asociar el nombre de recurso de Amazon (ARN) de la secuencia con una función de Lambda que haya escrito. Inmediatamente después de modificar un elemento de la tabla, aparece un nuevo registro en la secuencia de la tabla. AWS Lambda sondea la secuencia y llama a la función Lambda de forma sincrónica cuando detecta nuevos registros en él. La función Lambda pueden realizar cualquier acción que usted especifique, como, por ejemplo, enviar una notificación o iniciar un flujo de trabajo.

Para ver un ejemplo consulte Tutorial: uso de AWS Lambda con Amazon DynamoDB Streams. En este ejemplo se recibe una entrada de evento de DynamoDB, se procesan los mensajes que contiene y se escriben algunos de los datos de eventos entrantes en los Amazon CloudWatch Logs.

monitorea la configuración de DynamoDB con AWS Config

Utilizando AWS Config, puede monitorear y registrar continuamente los cambios de configuración de recurso de AWS. También puede utilizar AWS Config para realizar un inventario sur recursos de AWS. Cuando se detecta un cambio con respecto a un estado anterior, se puede enviar una notificación de Amazon Simple Notification Service (Amazon SNS) para que la revise y tome medidas. Siga la guía de Configuración de AWS Config con la consola, asegurando que se incluyan los tipos de recursos de DynamoDB.

Puede configurar AWS Config para que transmita cambios de configuración y notificaciones a un tema de Amazon SNS. Por ejemplo, cuando se actualiza un recurso, puede obtener una notificación enviada a su correo electrónico, para que pueda ver los cambios. También se le puede notificar cuando AWS Config evalúa las reglas personalizadas o administradas con respecto a sus recursos.

Para ver un ejemplo, consulte Notificaciones que AWS Config envía a un tema de Amazon SNS en la Guía para desarrolladores AWS Config.

monitorea el cumplimiento de DynamoDB de las reglas AWS Config

AWS Config realiza un seguimiento constante de los cambios de configuración que se producen entre los recursos. Comprueba si estos cambios infringen cualquiera de las condiciones de sus reglas. Si un recurso infringe una regla, AWS Config marca el recurso y la regla como no conformes.

Al utilizar AWS Config para evaluar las configuraciones de sus recursos, puede evaluar en qué medida las configuraciones de los recursos cumplen las prácticas internas, las directrices del sector y las normativas. AWS Config proporciona Reglas administradas de AWS, que son reglas predefinidas y personalizables que AWS Config utiliza para evaluar si sus recursos de AWS cumplen con las prácticas recomendadas comunes.

Etiquetar sus recursos de DynamoDB para su identificación y automatización

Puede asignar metadatos a los recursos de AWS en forma de etiquetas. Cada etiqueta es una marca que consta de una clave definida por el cliente y un valor opcional que puede hacer que sea más fácil administrar, buscar y filtrar recursos.

El etiquetado permite implementar controles agrupados. Aunque no hay tipos inherentes de etiquetas, lo habilitan a clasificar los recursos según su finalidad, propietario, entorno u otros criterios. A continuación se muestran algunos ejemplos:

• Seguridad: se utiliza para determinar requisitos tales como el cifrado.

• Confidencialidad: un identificador para el nivel concreto de confidencialidad de los datos que admite un recurso.

• Entorno: utilizado para distinguir entre el desarrollo, la prueba y la infraestructura de producción.

Para obtener más información, consulte Estrategias de etiquetado de AWS y Etiquetado de DynamoDB.

Monitoree el uso de Amazon DynamoDB en relación con las mejores prácticas de seguridad con AWS Security Hub.

Security Hub utiliza controles de seguridad para evaluar las configuraciones de los recursos y los estándares de seguridad para ayudarle a cumplir varios marcos de conformidad.

Para obtener más información sobre el uso de Security Hub para evaluar los recursos de DynamoDB, consulte Controles de Amazon DynamoDB en la Guía del usuario de AWS Security Hub.