Mejores prácticas de seguridad en AWS CloudTrail

AWS CloudTrail proporciona una serie de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.

CloudTrail prácticas recomendadas de seguridad policial

Crear un registro de seguimiento

Para tener un registro continuo de los eventos de tu AWS cuenta, debes crear un registro. Si bien CloudTrail proporciona información sobre el historial de eventos de 90 días para gestionar los eventos en la CloudTrail consola sin crear un registro, no es un registro permanente y no proporciona información sobre todos los tipos de eventos posibles. Para disponer de un registro continuado con todos los tipos de eventos que especifique, debe crear un registro de seguimiento, que envía los archivos de registros al bucket de Amazon S3 que especifique.

Para ayudar a administrar sus CloudTrail datos, considere la posibilidad de crear un registro que registre todos los eventos de administración y Regiones de AWS, a continuación, crear registros adicionales que registren tipos de eventos específicos para los recursos, como la actividad o AWS Lambda las funciones del bucket de Amazon S3.

Estas son algunas de las acciones que puede realizar:

• Crear una traza para su cuenta de AWS .

• Crear una traza para una organización.

Aplica rutas a todos Regiones de AWS

Para obtener un registro completo de los eventos registrados por una identidad o servicio de IAM en su AWS cuenta, cada ruta debe configurarse para registrar todos Regiones de AWS los eventos. Al registrar todos los eventos Regiones de AWS, se asegura de que se registren todos los eventos que se produzcan en su AWS cuenta, independientemente de la AWS región en la que se hayan producido. Esto incluye el registro de los eventos del servicio global, que se registran en una AWS región específica de ese servicio. Cuando crea un registro que se aplica a todas las regiones, CloudTrail registra los eventos en cada región y envía los archivos de registro de CloudTrail eventos a un depósito de S3 que especifique. Si se agrega una región de AWS después de crear un registro de seguimiento que se aplica a todas las regiones, la región nueva se incluye automáticamente, y también se registran sus eventos. Esta es la opción predeterminada al crear una ruta en la CloudTrail consola.

Estas son algunas de las acciones que puede realizar:

• Crear una traza para su cuenta de AWS .

• Actualizar una traza existente para registrar los eventos de todas las Regiones de AWS.

• Implemente controles de detección continuos para garantizar que todos los senderos creados registren todos los eventos Regiones de AWS utilizando la regla multi-region-cloud-trailde activación. AWS Config

Habilite la CloudTrail integridad del archivo de registro

Los archivos de registro validados son especialmente valiosos para las investigaciones de seguridad y forenses. Por ejemplo, un archivo de registro validado le permite afirmar positivamente que el archivo de registro en sí no ha cambiado, o que determinadas credenciales de identidad de IAM han llevado a cabo una actividad de la API específica. El proceso de validación de la integridad del archivo de CloudTrail registro también le permite saber si un archivo de registro se ha eliminado o modificado, o bien afirma que no se ha enviado ningún archivo de registro a su cuenta durante un período de tiempo determinado. CloudTrail La validación de la integridad de los archivos de registro utiliza algoritmos estándares del sector: el SHA-256 para el uso de hash y el SHA-256 con RSA para la firma digital. Esto hace que sea inviable desde el punto de vista computacional modificar, eliminar o falsificar los archivos de registro sin ser detectados. CloudTrail Para obtener más información, consulte Activación de la validación y los archivos de validación.

Integración con Amazon CloudWatch Logs

CloudWatch Los registros le permiten monitorear y recibir alertas sobre eventos específicos capturados por CloudTrail. Los eventos que se envían a los CloudWatch registros son aquellos configurados para que los registre su ruta, así que asegúrese de haber configurado su ruta o senderos para registrar los tipos de eventos (eventos de gestión o eventos de datos) que le interesa monitorear.

Por ejemplo, puede supervisar los principales eventos de seguridad y de administración relacionados con la red, como los errores de inicio de AWS Management Console sesión.

Estas son algunas de las acciones que puede realizar:

• Consulte las integraciones de CloudWatch Logs de ejemplo para. CloudTrail

• Configura tu ruta para enviar eventos a CloudWatch Logs.

• Considere la posibilidad de implementar controles de detección continuos para garantizar que todos los rastros envíen los eventos a CloudWatch Logs para que los supervisen mediante la cloud-trail-cloud-watchregla -logs-enabled de AWS Config

Uso AWS Security Hub

Supervise su uso en lo que CloudTrail respecta a las mejores prácticas de seguridad mediante el uso de. AWS Security Hub Security Hub utiliza controles de seguridad de detección para evaluar las configuraciones de los recursos y los estándares de seguridad para ayudarlo a cumplir con varios marcos de conformidad. Para obtener más información sobre el uso de Security Hub para evaluar CloudTrail los recursos, consulte AWS CloudTrail los controles en la Guía del AWS Security Hub usuario.

CloudTrail prácticas recomendadas de seguridad preventiva

Las siguientes prácticas recomendadas CloudTrail pueden ayudar a prevenir incidentes de seguridad.

Efectuar el registro en un bucket de Amazon S3 dedicado y centralizado

CloudTrail Los archivos de registro son un registro de auditoría de las acciones realizadas por una identidad de IAM o un AWS servicio. La integridad, plenitud y disponibilidad de estos registros es fundamental para fines forenses y de auditoría. Al efectuar el registro en un bucket de Amazon S3 dedicado y centralizado, es posible aplicar controles de seguridad, acceso y separación de funciones estrictos.

Estas son algunas de las acciones que puede realizar:

• Cree una AWS cuenta independiente como cuenta de archivo de registros. Si la usa AWS Organizations, inscriba esta cuenta en la organización y considere la posibilidad de crear un registro de la organización para registrar los datos de todas AWS las cuentas de su organización.

• Si no usa Organizations pero desea registrar los datos de varias AWS cuentas, cree un registro para registrar la actividad en esta cuenta de archivo de registros. Restringir el acceso a esta cuenta únicamente a los usuarios administrativos de confianza que necesiten acceso a los datos de auditoría y de la cuenta.

• Como parte de la creación de una ruta, ya sea una ruta de la organización o una ruta para una sola AWS cuenta, cree un bucket de Amazon S3 dedicado para almacenar los archivos de registro de esta ruta.

• Si desea registrar la actividad de más de una AWS cuenta, modifique la política de bucket para permitir el registro y el almacenamiento de los archivos de registro de todas las AWS cuentas en las que desee registrar la actividad de la AWS cuenta.

• Si no utiliza un registro de seguimiento de organización, cree registros de seguimiento en todas sus cuentas de AWS y especifique el bucket de Amazon S3 en la cuenta de archivos de registro.

Usa el cifrado del lado del servidor con claves administradas AWS KMS

De forma predeterminada, los archivos de registro que se envían CloudTrail al bucket de S3 se cifran mediante el cifrado del lado del servidor con una clave KMS (SSE-KMS). Para usar SSE-KMS CloudTrail, debe crear y administrar una AWS KMS key, también conocida como clave KMS.

nota

Si utiliza SSE-KMS y la validación de archivos de registro, y ha modificado la política de bucket de Amazon S3 para permitir exclusivamente archivos cifrados mediante SSE-KMS, no podrá crear registros de seguimiento que utilicen dicho bucket a menos que modifique la política de bucket para permitir el cifrado AES256 específicamente, tal y como se muestra en el siguiente ejemplo de línea de política.

"StringNotEquals": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] } 

Estas son algunas de las acciones que puede realizar:

• Conocer las ventajas de cifrar los archivos de registro con SSE-KMS.

• Cree una clave de KMS para utilizarla para el cifrado de archivos de registro.

• Configurar el cifrado de los archivos de registro para los registros de seguimiento.

• Considere la posibilidad de implementar controles de detección continuos para garantizar que todos los registros cifren los archivos de registro con SSE-KMS siguiendo la regla que aparece en. cloud-trail-encryption-enabled AWS Config

Agregar una clave de condición a la política de temas de Amazon SNS predeterminada

Al configurar una ruta para enviar notificaciones a Amazon SNS, CloudTrail agrega una declaración de política a la política de acceso a un tema de SNS que permite enviar contenido CloudTrail a un tema de SNS. Como práctica recomendada de seguridad, le recomendamos que añada una clave de condición aws:SourceArn (u opcionalmenteaws:SourceAccount) a la CloudTrail declaración de política. Esto ayuda a evitar el acceso no autorizado de la cuenta al tema de SNS. Para obtener más información, consulte Política temática de Amazon SNS para CloudTrail.

Implementar el acceso con privilegios mínimos a los buckets de Amazon S3 en los que se almacenan los archivos de registro

CloudTrail rastrea los eventos del registro hasta un bucket de Amazon S3 que especifique. Estos archivos de registro contienen un registro de auditoría de las acciones realizadas por las identidades y los AWS servicios de IAM. La integridad y plenitud de estos archivos de registro son fundamentales para fines forenses y de auditoría. Para garantizar esa integridad, debe cumplir con el principio de privilegios mínimos al crear o modificar el acceso a cualquier bucket de Amazon S3 utilizado para almacenar archivos de CloudTrail registro.

Siga estos pasos:

• Examinar la política de bucket de Amazon S3 de todos y cada uno de los buckets en los que se almacenan los archivos de registro y ajustarla si es necesario para eliminar cualquier acceso innecesario. Esta política de bucket se generará automáticamente si crea un registro mediante la CloudTrail consola, pero también se puede crear y administrar manualmente.

• Como práctica recomendada de seguridad, asegúrese de agregar manualmente una clave de condición aws:SourceArn de la política de bucket. Para obtener más información, consulte Política de bucket de Amazon S3 para CloudTrail.

• Si utiliza el mismo depósito de Amazon S3 para almacenar los archivos de registro de varias AWS cuentas, siga las instrucciones para recibir los archivos de registro de varias cuentas.

• Si utiliza un registro de seguimiento de organización, no olvide seguir las instrucciones de los registros de seguimiento de organización y examine la política de ejemplo para un bucket de Amazon S3 para el registro de seguimiento de una organización en Crear un registro para una organización con AWS Command Line Interface.

• Consulte la documentación de seguridad de Amazon S3 y la explicación de ejemplo para proteger un bucket.

Habilitar la función de eliminación de la MFA en el bucket de Amazon S3 en el que se almacenan los archivos de registro

Al configurar la autenticación multifactor (MFA), cualquier intento de cambiar el estado de control de versiones del bucket o de eliminar una versión de un objeto requiere una autenticación adicional. De esta forma, incluso si un usuario consigue la contraseña de un usuario de IAM que tenga permisos para eliminar objetos de Amazon S3 de forma definitiva, todavía puede impedir cualquier operación que podría poner en peligro los archivos de registro.

Estas son algunas de las acciones que puede realizar:

• Consulte la guía de eliminación de MFA en la Guía del usuario de Amazon Simple Storage Service.

• Agregue una política de bucket de Amazon S3 que requiera el uso de la MFA.

nota

No se puede utilizar la eliminación de MFA con configuraciones del ciclo de vida. Para obtener más información sobre las configuraciones del ciclo de vida y cómo interactúan con otras configuraciones, consulte Configuraciones del ciclo de vida y otras configuraciones de buckets en la Guía del usuario de Amazon Simple Storage Service.

Configurar la gestión del ciclo de vida de los objetos en el bucket de Amazon S3 en el que se almacenan los archivos de registro

La CloudTrail ruta predeterminada es almacenar los archivos de registro de forma indefinida en el bucket de Amazon S3 configurado para la ruta. Puede utilizar las reglas de administración del ciclo de vida de los objetos de Amazon S3 para definir la política de retención que mejor se adapte a sus necesidades empresariales y de auditoría. Por ejemplo, es posible que desee archivar los archivos de registro que tengan más de un año de antigüedad en Amazon Glacier, o eliminar archivos de registro transcurrido un cierto tiempo.

nota

No se admite la configuración del ciclo de vida en buckets habilitados para autenticación multifactor (MFA).

Limite el acceso a la política AWSCloudTrail_FullAccess

Los usuarios con la AWSCloudTrail_FullAccesspolítica tienen la posibilidad de deshabilitar o reconfigurar las funciones de auditoría más sensibles e importantes de sus AWS cuentas. Esta política no pretende compartirse ni aplicarse ampliamente a las identidades de IAM de su AWS cuenta. Limite la aplicación de esta política al menor número posible de personas, es decir, aquellas que espere que actúen como administradores de la AWS cuenta.