Directivas de auditoría de seguridad de AWS - Referencia general de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Directivas de auditoría de seguridad de AWS

Periódicamente, debe auditar su configuración de seguridad para asegurarse de que satisface sus necesidades de negocio actuales. Una auditoría le ofrece la oportunidad de eliminar los usuarios, los grupos, los roles de IAM innecesarios y de asegurarse de que los usuarios y el software tengan únicamente los permisos que necesiten.

A continuación encontrará las directrices para revisar y monitorizar sistemáticamente los recursos de AWS en aplicación de las prácticas recomendadas de seguridad.

Cuándo debe realizar una auditoría de seguridad

Debe auditar su configuración de seguridad en las siguientes situaciones:

  • En forma periódica. Debe realizar los pasos que se describen en este documento a intervalos regulares, como práctica recomendada de seguridad.

  • Si se producen cambios en su organización; por ejemplo, si se marchan personas.

  • Si ha dejado de utilizar uno o varios servicios de AWS individuales. Esto es importante para eliminar los permisos que los usuarios de su cuenta ya no necesitan.

  • Si ha añadido o eliminado software de las cuentas, como aplicaciones en instancias EC2 de Amazon EC2,AWS OpsWorkspilas,AWS CloudFormationplantillas de, etc.

  • Si sospecha que una persona no autorizada podría haber accedido a su cuenta.

Directrices para la auditoría

Al revisar la configuración de seguridad de su cuenta, siga estas directrices:

  • Sea exhaustivo. Fíjese en todos los aspectos de su configuración de seguridad, incluidos aquellos que no utilice habitualmente.

  • No haga suposiciones. Si no conoce bien algún aspecto de la configuración de seguridad (por ejemplo, los motivos para una determinada política o la existencia de un rol), investigue la necesidad de negocio hasta quedar convencido.

  • Simplifique. Para facilitar la auditoría (y la administración), utilice grupos de IAM, esquemas de nomenclatura coherentes y políticas sencillas.

Revisión de las credenciales de su cuenta de AWS

Siga estos pasos al auditar las credenciales de su cuenta de AWS:

  1. Si no utiliza las claves de acceso raíz de su cuenta, puede eliminarlas. werecomiendo fuertementeque no utilice las claves de acceso raíz para el trabajo cotidiano conAWSy que, en su lugar, cree usuarios de IAM.

  2. Si necesita mantener las claves de acceso para su cuenta, rótelas con regularidad.

Revise de sus usuarios de IAM

Siga estos pasos al auditar los usuarios de IAM:

  1. Enumere los usuarios y, a continuación, elimine los usuarios que estén inactivos.

  2. Quite los usuarios de los grupos a los que no necesiten pertenecer.

  3. Revise las políticas adjuntas a los grupos a los que pertenece el usuario. Consulte Consejos para revisar las políticas de IAM.

  4. Elimine las credenciales de seguridad que el usuario no necesite o que se hayan visto expuestas. Por ejemplo, un usuario de IAM que se utiliza para una aplicación no necesita una contraseña (que solo es necesaria para iniciar sesión enAWSsitios web). Del mismo modo, si un usuario ya no utiliza las claves de acceso, no hay motivo para que las tenga. Para obtener más información, consulteAdministración de las contraseñas de IAMyAdministrar las claves de acceso de los usuarios de IAMen laIAM User Guide.

    Puede generar y descargar un informe de credenciales que contenga una lista de todos los usuarios de IAM de su cuenta y el estado de sus credenciales, tales como contraseñas, claves de acceso y dispositivos MFA. Para las contraseñas y claves de acceso, el informe de credenciales muestra cuándo se ha utilizado la contraseña o una clave de acceso por última vez. Las credenciales que no se han utilizado hace poco probablemente deban eliminarse. Para obtener más información, consulteObtención de informes de credenciales para suAWSCuentaen laIAM User Guide.

  5. Rote (cambie) las credenciales de seguridad de los usuarios de forma periódica o inmediatamente si se han compartido con una persona no autorizada. Para obtener más información, consulteAdministración de las contraseñas de IAMyAdministrar las claves de acceso de los usuarios de IAMen laIAM User Guide.

Revise de los grupos de IAM

Siga estos pasos al auditar los grupos de IAM:

  1. Enumere los grupos y, a continuación, elimine los grupos que no se utilicen.

  2. Revise los usuarios de cada grupo y elimine los usuarios que no les pertenecen.

  3. Revise las políticas adjuntas al grupo. Consulte Consejos para revisar las políticas de IAM.

Revise de los roles de IAM

Siga estos pasos al auditar los roles de IAM:

  1. Enumere los roles y, a continuación, elimine los roles que no se utilizan.

  2. Revise la política de confianza del rol. Asegúrese de saber quién es la entidad principal y de entender por qué esa cuenta o ese usuario necesitan poder asumir el rol.

  3. Revise la política de acceso del rol para asegurarse de que conceda permisos adecuados a quien asuma ese rol; consulte Consejos para revisar las políticas de IAM.

Revise de los proveedores de IAM para SAML y OpenID Connect (OIDC)

Si ha creado una entidad de IAM para establecer la confianza con unProveedor de identidad SAML u OIDC, siga estos pasos:

  1. Elimine los proveedores que no se utilicen.

  2. Descargue y revise los documentos de metadatos de AWS de cada proveedor SAML y asegúrese de que reflejen las necesidades de negocio actuales. También puede obtener los documentos de metadatos más recientes del SAML IdPs con la que quieres establecer confianza yactualizar el proveedor en IAM.

Revisión de las aplicaciones móviles

Si ha creado una aplicación móvil que realiza solicitudes a AWS, siga estos pasos:

  1. Asegúrese de que la aplicación móvil no contenga claves de acceso integradas, ni siquiera aunque estén en el almacenamiento cifrado.

  2. Obtenga credenciales temporales para la aplicación mediante el uso de API diseñadas para ello. Le recomendamos que utiliceAmazon Cognitopara administrar la identidad de los usuarios en su aplicación. Este servicio permite autenticar a los usuarios mediante Login with Amazon, Facebook, Google o cualquier proveedor de identidad compatible con OpenID Connect (OIDC). A continuación, puede utilizar el comando deProveedor de credenciales de Amazon Cognitopara administrar las credenciales de que la aplicación utiliza para realizar solicitudes aAWS.

    Si su aplicación móvil no admite la autenticación mediante Login with Amazon, Facebook, Google o cualquier otro proveedor de identidades compatible con OIDC, puede crear un servidor proxy que dispense credenciales temporales a su aplicación.

Revise de la configuración de seguridad de Amazon EC2

Siga estos pasos para cada región de AWS:

  1. BorrarPares de claves de Amazon EC2 que no se utilicen o personas ajenas a su organización puedan conocer.

  2. Revise de suGrupos de seguridad de Amazon EC2:

    • Quite los grupos de seguridad que ya no se ajusten a sus necesidades.

    • Elimine las reglas de los grupos de seguridad que ya no se ajusten a sus necesidades. Asegúrese de saber por qué se han permitido los puertos, los protocolos y los rangos de direcciones IP que permiten.

  3. Finalice las instancias que no respondan a una necesidad de negocio o que alguien ajeno a su organización pueda haber iniciado con fines no autorizados. Recuerde que, si se inicia una instancia con un rol, las aplicaciones que se ejecutan en dicha instancia podrán acceder a los recursos de AWS mediante los permisos que conceda ese rol.

  4. Cancele las solicitudes de instancias de spot que no respondan a una necesidad de negocio o que alguien ajeno a su organización haya podido realizar.

  5. Revise los grupos y las configuraciones de Auto Scaling. Desactive todos aquellos que ya no se ajusten a sus necesidades o que alguien ajeno a su organización pueda haber configurado.

Revisión de las políticas de AWS en otros servicios

Revise los permisos para los servicios que utilizan políticas basadas en recursos o que admiten otros mecanismos de seguridad. En cada caso, asegúrese de que solo los usuarios y los roles que lo necesiten por motivos de negocio actuales tengan acceso a los recursos del servicio; además, compruebe que los permisos concedidos para los recursos sean los mínimos necesarios para satisfacer las necesidades de negocio.

Monitorice la actividad de su cuenta de AWS

Siga estas directrices para monitorizar la actividad de AWS:

  • Active AWS CloudTrail en cada cuenta y utilícelo en cada región admitida.

  • Examinar periódicamente CloudTrail archivos de registro. (CloudTrail tiene un número desociosquienes proporcionan herramientas para leer y analizar los archivos de registro.

  • Habilitación Amazon S3 de bucketspara monitorizar las solicitudes realizadas a cada bucket.

  • Si cree que se ha producido un uso no autorizado de su cuenta, preste especial atención a las credenciales temporales que se han emitido. Si se han emitido credenciales temporales que no reconoce, desactive sus permisos.

  • Habilite alertas de facturación en cada cuenta y establezca un umbral de costo que le informe cuando los cargos superen el uso normal.

Consejos para revisar las políticas de IAM

Las políticas son potentes y sutiles, por lo que es importante estudiar y comprender los permisos que concede cada una de ellas. Utilice las siguientes directrices al revisar las políticas:

  • Como práctica recomendada, asocie las políticas a grupos, en lugar de a usuarios individuales. Si un usuario individual tiene una política, asegúrese de comprender por qué ese usuario la necesita.

  • Asegúrese de que los usuarios, los grupos y los roles de IAM cuenten exclusivamente con aquellos permisos que necesiten.

  • UsarSimulador de políticas de IAMpara comprobar las políticas que se han adjuntado a los usuarios o grupos.

  • Recuerde que los permisos de usuario son el resultado de todas las políticas aplicables (de usuario, de grupo y para buckets de Amazon S3 SNS Amazon SQSAWS KMSllaves). Es importante examinar todas las políticas aplicables a un usuario y comprender el conjunto completo de permisos concedidos a un usuario individual.

  • Tenga en cuenta que permitir que un usuario de IAM cree un usuario, grupo, rol o política de IAM y adjunte una política a la entidad principal equivale, en la práctica, a conceder a ese usuario todos los permisos sobre todos los recursos de su cuenta. Es decir, los usuarios a quienes se permite crear políticas y adjuntárselas a usuarios, grupos o roles se pueden conceder a sí mismos cualquier permiso. En general, no conceda permisos de IAM a los usuarios o los roles en quienes no confía lo suficiente para que dispongan de pleno acceso a los recursos de su cuenta. La siguiente lista contiene los permisos de IAM que debe estudiar atentamente:

    • iam:PutGroupPolicy

    • iam:PutRolePolicy

    • iam:PutUserPolicy

    • iam:CreatePolicy

    • iam:CreatePolicyVersion

    • iam:AttachGroupPolicy

    • iam:AttachRolePolicy

    • iam:AttachUserPolicy

  • Asegúrese de que las políticas no concedan permisos para servicios que no se utilizan. Por ejemplo, si utiliza políticas administradas de AWS, asegúrese de que las políticas administradas de AWS que están en uso en su cuenta sean para servicios que utilice realmente. Para saber quéAWSlas políticas administradas de se utilizan en su cuenta, utilice IAMGetAccountAuthorizationDetailsAPI (AWS CLIcomando:aws iam get-account-authorization-details).

  • Si la política concede permiso a un usuario para lanzar una instancia EC2 de Amazon EC2, también podría permitir que el usuario deiam:PassRoleacción, pero si es así deberíaenumerar explícitamente los rolesque el usuario está autorizado a pasar a la instancia de Amazon EC2.

  • Examine minuciosamente todos los valores del elemento Action o Resource que incluyan *. La práctica recomendada consiste en conceder acceso Allow solamente para las acciones y los recursos individuales que los usuarios necesitan. Sin embargo, a continuación se citan algunas razones por las que podría ser conveniente utilizar * en una política:

    • La política está diseñada para conceder privilegios de nivel administrativo.

    • El comodín se utiliza por comodidad para un conjunto de acciones similares (por ejemplo, Describe*) y usted está convencido de la idoneidad de la lista completa de acciones a las que se hace referencia de este modo.

    • El comodín se utiliza para indicar una clase de recursos o una ruta de recursos (p. ej., arn:aws:iam::account-id:users/division_abc/*) y usted está convencido de la idoneidad de conceder acceso a todos los recursos de esa clase o ruta.

    • Una acción de servicio no admite permisos de nivel de recursos y la única opción para un recurso es *.

  • Examine los nombres de las políticas para asegurarse de que reflejen la función que cumple cada una de ellas. Por ejemplo, el nombre de una política podría incluir el texto “solo lectura” pero, en realidad, conceder permisos de escritura o cambio.

Más información

Para obtener más información sobre la administración de recursos de IAM, consulte los siguientes temas:

Para obtener más información acerca de la seguridad de Amazon EC2, consulte los siguientes temas:

Para obtener más información sobre la monitorización de cuentas de AWS, consulte el vídeo de presentación de re:Invent 2013 Intrusion Detection in the Cloud.