Registro y monitoreo de aplicaciones mediante AWS CloudTrail - AWS Guía prescriptiva
Utilización de CloudTrailCasos de uso de CloudTrailPrácticas recomendadas para CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registro y monitoreo de aplicaciones mediante AWS CloudTrail

AWS CloudTrail es un Servicio de AWS que ayuda a habilitar la auditoría operativa y de riesgos, la gobernanza y la conformidad de su Cuenta de AWS. Las acciones que realiza un usuario, el rol o un Servicio de AWS se registran como eventos en CloudTrail. Los eventos pueden incluir las acciones llevadas a cabo en la AWS Management Console, la AWS Command Line Interface (AWS CLI) y los SDK y API de AWS.

Utilización de CloudTrail

CloudTrail se habilita en su Cuenta de AWS cuando la crea. Cuando se produce actividad en su Cuenta de AWS, esta se registra en un evento de CloudTrail. Puede ver fácilmente los eventos recientes en la consola de CloudTrail yendo a Historial de eventos.

Para mantener un registro continuo de la actividad y de los eventos en su Cuenta de AWS, cree un registro de seguimiento. Puede crear registros de seguimiento para una sola Región de AWS o para todas las regiones. Los registros de seguimiento graban los archivos de registro de cada región y CloudTrail distribuye los archivos de registro a un bucket de Amazon Simple Storage Service (Amazon S3) consolidado.

Puede configurar varios registros de seguimiento de forma distinta, de modo que procesen y registren únicamente los eventos que especifique. Esto puede resultar útil cuando desee clasificar los eventos que se producen en su Cuenta de AWS con los eventos que se producen en su aplicación.

nota

CloudTrail tiene una característica de validación que puede utilizar para determinar si un archivo de registro se modificó, eliminó o no se modificó después de que CloudTrail lo entregó. Esta característica se compila mediante los algoritmos estándar de la industria: SHA-256 para el hash y SHA-256 con RSA para la firma digital. De ese modo, resulta imposible desde el punto de vista informático modificar, eliminar o falsificar archivos de registros de CloudTrail sin que se sepa. Puede utilizar la AWS CLI para validar los archivos en la ubicación donde los envió CloudTrail. Para obtener más información sobre esta característica y cómo habilitarla, consulte Validar la integridad de los archivos de registros de CloudTrail (documentación de CloudTrail).

Casos de uso de CloudTrail

  • Ayuda a la conformidad: el uso de CloudTrail puede ayudar a cumplir con las políticas internas y los estándares normativos al brindar un historial de eventos en su Cuenta de AWS.

  • Análisis de seguridad: puede realizar un análisis de seguridad y detectar patrones de comportamiento de los usuarios al incorporar los archivos de registro de CloudTrail en soluciones de análisis y administración de registros, como CloudWatch Logs, Amazon EventBridge, Amazon Athena, Amazon OpenSearch Service u otra solución de terceros.

  • Exfiltración de datos: puede detectar la exfiltración de datos al recopilar datos de actividad en los objetos de Amazon S3 mediante los eventos de la API a nivel de objeto registrados en CloudTrail. Una vez recopilados los datos de actividad, puede utilizar otros Servicios de AWS, como EventBridge y AWS Lambda, para activar una respuesta automática.

  • Solución de problemas operativos: puede solucionar problemas operativos mediante los archivos de registro de CloudTrail. Por ejemplo, puede identificar rápidamente los cambios más recientes realizados en los recursos de su entorno, incluida la creación, modificación y eliminación de recursos de AWS.

Prácticas recomendadas para CloudTrail

  • Habilite CloudTrail en todas las Regiones de AWS.

  • Habilite la validación de la integridad de los archivos de registro.

  • Cifre los registros.

  • Incorpore los archivos de registro de CloudTrail en registros de CloudWatch.

  • Centralice los registros de todas las Cuentas de AWS y regiones.

  • Aplique políticas de ciclo de vida a los buckets de S3 que contienen archivos de registro.

  • Impida que los usuarios puedan desactivar el registro en CloudTrail. Aplique la siguiente política de control de servicio (SCP) en AWS Organizations. Esta SCP establece una regla de denegación explícita para las acciones StopLogging y DeleteTrail en toda la organización.

    {
"Version": "2012-10-17",
"Statement":
       [ 
                 { "Action": 
                     [
                     "cloudtrail:StopLogging",
                     "cloudtrail:DeleteTrail"
                      ],
                      "Resource": "*",
                      "Effect": "Deny"
                  }
        ]
}