Reinterpretación de las estrategias de Essential Eight para la nube

Las siguientes son las estrategias de mitigación originales de Essential Eight que se diseñaron para redes basadas en Microsoft conectadas a internet:

• Control de aplicaciones

• Revisiones para las aplicaciones

• Configuración de los valores de macros de Microsoft Office

• Endurecimiento de las aplicaciones de usuario

• Restricción de los privilegios administrativos

• Aplicación de revisiones a sistemas operativos

• Autenticación multifactor

• Copias de seguridad periódicas

Es importante reiterar que el marco de Essential Eight no está diseñado para entornos en la nube. Sin embargo, los principios subyacentes son aplicables y existe una superposición entre las estrategias Essential Eight y las prácticas recomendadas del Marco de AWS Well-Architected.

Varios enfoques nativos en la nube pueden mejorar la seguridad y reducir de manera drástica la carga de cumplimiento. En los entornos en las instalaciones, es responsable de todos los aspectos de la seguridad y no hay controles heredados. Al ejecutar cargas de trabajo en la nube, AWS es responsable de proteger la infraestructura que ejecuta nuestros servicios. También puede reducir la carga de cumplimiento mediante el uso de servicios administrados y de automatización. Los servicios administrados, también denominados servicios abstractos, son Servicios de AWS en los que AWS se encarga de gestionar la capa de infraestructura, el sistema operativo y las plataformas. Usted accede a los puntos de conexión para almacenar y recuperar datos. Amazon Simple Storage Service (Amazon S3) y Amazon DynamoDB son ejemplos de servicios administrados. Para más información, consulte la sección Tema 1: uso de servicios administrados de esta guía.

Por lo tanto, es necesario hacer una reinterpretación para que las estrategias Essential Eight sean adecuadas para las cargas de trabajo en AWS. Esta guía convierte las estrategias Essential Eight en temas de AWS.

Uso de los temas

Esta guía se divide en ocho temas. Cada estrategia de Essential Eight se asigna a uno o varios de los temas siguientes. Cada tema se asigna a una o varias prácticas recomendadas del Marco de AWS Well-Architected.

• Tema 1: uso de servicios administrados

• Tema 2: gestión de la infraestructura inmutable mediante canalizaciones seguras

• Tema 3: administración de la infraestructura mutable con automatización

• Tema 4: administración de identidades

• Tema 5: establecimiento de un perímetro de datos

• Tema 6: automatización de las copias de seguridad

• Tema 7: centralización del registro y de la supervisión

• Tema 8: implementación de mecanismos para los procesos manuales

Cada tema incluye información general del tema, las prácticas recomendadas relacionadas con el Marco de AWS Well-Architected e instrucciones sobre cómo alcanzar la madurez de Essential Eight y supervisar el cumplimiento. Las instrucciones proporcionan pasos manuales o son útiles para configurar las automatizaciones mediante reglas de AWS Config Los pasos manuales requieren mecanismos para garantizar que se aborden los resultados. Para más información, consulte Tema 8: implementación de mecanismos para los procesos manuales. Las reglas de AWS Config requieren una supervisión o automatización similar para corregir los recursos que no cumplen con las normas. Si sigue las directrices relacionadas con estos temas, podrá alcanzar la madurez de Essential Eight con un enfoque que también maximice las ventajas de la nube.

Reinterpretación de las estrategias de Essential Eight para la nube

Como el marco de Essential Eight no está diseñado para entornos en la nube, es esencial adoptar un enfoque nativo en la nube al abordar los principios subyacentes de cada estrategia de Essential Eight. El enfoque varía según dos cuestiones clave.

¿Qué servicios utiliza?

El Modelo de responsabilidad compartida de AWS puede ayudar a aliviar sus cargas operativas y de cumplimiento. Los servicios administrados transfieren una mayor responsabilidad a AWS al mantener la disponibilidad, el rendimiento y la optimización de la seguridad del servicio implementado. Los servicios administrados también eliminan la carga operativa y administrativa del mantenimiento de un servicio, lo que proporciona al equipo más tiempo para centrarse en la innovación.

Los servicios administrados incluyen servicios sin servidor, como Amazon API Gateway, AWS Lambda y DynamoDB. Una base de datos en Amazon Relational Database Service (Amazon RDS) requiere menos responsabilidad operativa que una base de datos en Amazon Elastic Compute Cloud (Amazon EC2).

Por ejemplo, si va a adaptar la estrategia Essential Eight de aplicación de revisiones de sistemas operativos a la nube, debe tener en cuenta qué servicios utiliza y si es responsable de aplicar revisiones a esos recursos. AWS es responsable de aplicar revisiones a los servicios totalmente administrados, como Lambda y DynamoDB. Para otros servicios, como Amazon RDS o Amazon Redshift, es posible que deba gestionar las revisiones durante los periodos de mantenimiento.

¿Qué modelo de implementación utiliza?

¿Su organización utiliza un enfoque de infraestructura mutable o inmutable?

El modelo de infraestructura mutable actualiza y modifica la infraestructura actual para las cargas de trabajo de producción. Este era el método de implementación estándar antes de la nube, cuando reemplazar la infraestructura del servidor era tan costoso y tardaba tanto tiempo que el enfoque más práctico consistía en aplicar los cambios a los servidores que ya se encontraban en producción. Un ejemplo de enfoque mutable en la nube es la implementación de los cambios en las aplicaciones directamente en las instancias de EC2 en ejecución, ya sea de manera manual o mediante un servicio de implementación de software, como AWS Systems Manager Run Command o AWS CodeDeploy.

El modelo de infraestructura inmutable implementa una nueva infraestructura para las cargas de trabajo de producción en lugar de actualizar, aplicar revisiones o modificar la infraestructura existente. Un ejemplo de enfoque inmutable es definir una pila de aplicaciones en AWS CloudFormation o AWS Cloud Development Kit (AWS CDK). Puede utilizar estos servicios para implementar una pila de aplicaciones mediante las canalizaciones de integración continua y entrega continua (CI/CD). Este enfoque utiliza métodos de implementación como el continuo o el azul/verde. Para más información sobre este enfoque, consulte las práctica recomendada Implementación mediante una infraestructura inmutable en el Marco de AWS Well-Architected.

Por ejemplo, si va a adaptar la estrategia Essential Eight de aplicación de revisiones a sistemas operativos a la nube, debe tener en cuenta cómo se aplican las revisiones al modelo de implementación. En el caso de una infraestructura mutable, puede aplicar revisiones a los recursos de manera manual o mejorar la eficiencia operativa mediante la automatización. Si utiliza una infraestructura inmutable, utilizaría una canalización de CI/CD para implementar una infraestructura nueva con la última versión del sistema operativo. De hecho, el término aplicar revisión es un término inadecuado en este modelo porque la infraestructura se reemplazaría en lugar de aplicarse una revisión.