Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Security OU: cuenta de herramientas de seguridad
Nos encantaría saber de ti. Envíe sus comentarios sobre la AWS PRA mediante una breve encuesta |
La cuenta Security Tooling está dedicada a operar los servicios fundamentales de seguridad y privacidad, a monitorear Cuentas de AWS y automatizar las alertas y respuestas de seguridad y privacidad. Para obtener más información sobre esta cuenta, consulte la Arquitectura de referencia de AWS seguridad (SRA).AWS El siguiente diagrama ilustra los servicios AWS de seguridad y privacidad que están configurados en la cuenta Security Tooling.
En esta sección se proporciona información más detallada sobre lo siguiente en esta cuenta:
AWS CloudTrail
AWS CloudTraille ayuda a auditar la actividad general de la API en su Cuenta de AWS. Permitir Regiones de AWS que todos Cuentas de AWS los dispositivos CloudTrail almacenen, procesen o transmitan datos personales puede ayudarlo a rastrear el uso y la divulgación de estos datos. La arquitectura AWS de referencia de seguridad recomienda habilitar un registro de la organización, que es un registro único que registra todos los eventos de todas las cuentas de la organización. Sin embargo, al habilitar este registro organizativo, se agregan los datos de registro multirregionales en un único depósito de Amazon Simple Storage Service (Amazon S3) en la cuenta de Log Archive. En el caso de las cuentas que gestionan datos personales, esto puede implicar algunas consideraciones de diseño adicionales. Los registros pueden contener algunas referencias a datos personales. Para cumplir con sus requisitos de residencia y transferencia de datos, es posible que deba reconsiderar la posibilidad de agregar los datos de registro entre regiones en una sola región donde se encuentra el depósito de S3. Su organización podría considerar qué cargas de trabajo regionales deberían incluirse o excluirse del registro de la organización. En el caso de las cargas de trabajo que decidas excluir del registro de la organización, podrías considerar la posibilidad de configurar un registro específico para cada región que oculte los datos personales. Para obtener más información sobre el enmascaramiento de datos personales, consulta la Amazon Data Firehose sección de esta guía. En última instancia, su organización puede tener una combinación de registros organizativos y regionales que se agregan a la cuenta centralizada de Log Archive.
Para obtener más información sobre la configuración de un registro de una sola región, consulta las instrucciones para usar el AWS Command Line Interface (AWS CLI) o la consola. Al crear el registro de la organización, puedes usar una configuración opcional o puedes crear el registro directamente en la CloudTrail consola. AWS Control Tower
Para obtener más información sobre el enfoque general y sobre cómo gestionar la centralización de los registros y los requisitos de transferencia de datos, consulta la Almacenamiento de registros centralizado sección de esta guía. Sea cual sea la configuración que elija, es posible que desee separar la administración de registros en la cuenta de Security Tooling del almacenamiento de registros en la cuenta de Log Archive, según la AWS SRA. Este diseño le ayuda a crear políticas de acceso con privilegios mínimos para quienes necesitan administrar los registros y quienes necesitan usar los datos de registro.
AWS Config
AWS Configproporciona una vista detallada de sus recursos Cuenta de AWS y de cómo están configurados. Le ayuda a identificar cómo se relacionan los recursos entre sí y cómo han cambiado sus configuraciones a lo largo del tiempo. Para obtener más información sobre cómo se utiliza este servicio en un contexto de seguridad, consulte la Arquitectura AWS de referencia de seguridad.
En AWS Config, puede implementar paquetes de conformidad, que son conjuntos de AWS Config reglas y acciones correctivas. Los paquetes de conformidad proporcionan un marco de uso general diseñado para permitir las comprobaciones de la privacidad, la seguridad, las operaciones y la gobernanza de la optimización de los costes mediante el uso de reglas gestionadas o personalizadas. AWS Config Puede utilizar esta herramienta como parte de un conjunto más amplio de herramientas de automatización para comprobar si las configuraciones de sus AWS recursos cumplen con los requisitos de su propio marco de control.
El paquete de conformidad con las prácticas recomendadas operativas para la versión 1.0 del Marco de privacidad del NIST se ajusta a una serie de controles relacionados con la privacidad del Marco de privacidad del NIST. Cada AWS Config regla se aplica a un tipo de AWS recurso específico y se refiere a uno o más controles del Marco de Privacidad del NIST. Puede usar este paquete de conformidad para realizar un seguimiento del cumplimiento continuo relacionado con la privacidad en todos los recursos de sus cuentas. Las siguientes son algunas de las reglas incluidas en este paquete de conformidad:
-
no-unrestricted-route-to-igw
— Esta regla ayuda a evitar la exfiltración de datos en el plano de datos al monitorear continuamente las tablas de enrutamiento de VPC en busca de rutas0.0.0.0/0
predeterminadas::/0
o de salida a una puerta de enlace de Internet. Esto le ayuda a restringir dónde se puede enviar el tráfico con destino a Internet, especialmente si hay rangos de CIDR que se sabe que son maliciosos. -
encrypted-volumes
— Esta regla comprueba si los volúmenes de Amazon Elastic Block Store (Amazon EBS) adjuntos a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) están cifrados. Si su organización tiene requisitos de control específicos relacionados con el uso de claves AWS Key Management Service (AWS KMS) para proteger los datos personales, puede especificar identificadores de clave específicos como parte de la regla para comprobar que los volúmenes estén cifrados con una clave específica. AWS KMS -
restricted-common-ports
— Esta regla comprueba si los grupos de seguridad de Amazon EC2 permiten el tráfico TCP sin restricciones a los puertos especificados. Los grupos de seguridad pueden ayudarlo a administrar el acceso a la red al proporcionar un filtrado exhaustivo del tráfico de red de entrada y salida a los recursos. AWS Bloquear el tráfico de entrada de sus recursos0.0.0.0/0
a puertos comunes, como el TCP 3389 y el TCP 21, le ayuda a restringir el acceso remoto.
AWS Config se puede utilizar para realizar comprobaciones de conformidad proactivas y reactivas de sus AWS
recursos. Además de tener en cuenta las reglas que se encuentran en los paquetes de conformidad, puede incorporarlas en los modos de evaluación preventiva y proactiva. Esto ayuda a implementar las comprobaciones de privacidad en una fase más temprana del ciclo de vida del desarrollo del software, ya que los desarrolladores de aplicaciones pueden empezar a incorporar las comprobaciones previas a la implementación. Por ejemplo, pueden incluir enlaces en sus AWS CloudFormation plantillas que comprueben el recurso declarado en la plantilla con respecto a todas las AWS Config reglas relacionadas con la privacidad que tienen habilitado el modo proactivo. Para obtener más información, consulte AWS Config Rules Now Support Proactive Compliance
Amazon GuardDuty
AWS ofrece varios servicios que pueden usarse para almacenar o procesar datos personales, como Amazon S3, Amazon Relational Database Service (Amazon RDS) o Amazon EC2 con Kubernetes. Amazon GuardDuty combina la visibilidad inteligente con la supervisión continua para detectar indicadores que puedan estar relacionados con la divulgación no intencionada de datos personales. Para obtener más información sobre cómo se utiliza este servicio en un contexto de seguridad, consulte la arquitectura de referencia AWS de seguridad.
Con él GuardDuty, puede identificar actividades potencialmente maliciosas relacionadas con la privacidad a lo largo del ciclo de vida de un ataque. Por ejemplo, GuardDuty puede avisarle sobre conexiones a sitios incluidos en listas negras, tráfico o volúmenes de tráfico inusuales en los puertos de red, filtraciones de DNS, lanzamientos inesperados de instancias de EC2 o llamadas inusuales de ISP. También puede configurarlo GuardDuty para detener las alertas de direcciones IP confiables de sus propias listas de IP confiables y alertar sobre direcciones IP malintencionadas conocidas de sus propias listas de amenazas.
Como se recomienda en la AWS SRA, puede habilitar la cuenta Security Tooling GuardDuty para todos los Cuentas de AWS miembros de su organización y configurarla como administrador GuardDuty delegado. GuardDutyagrupa los hallazgos de toda la organización en esta cuenta única. Para obtener más información, consulte Administrar GuardDuty cuentas con AWS Organizations. También puedes considerar la posibilidad de identificar a todas las partes interesadas relacionadas con la privacidad en el proceso de respuesta a los incidentes, desde la detección y el análisis hasta la contención y la erradicación, e implicarlas en cualquier incidente que pueda implicar la exfiltración de datos.
Analizador de acceso de IAM
Muchos clientes quieren tener la seguridad permanente de que los datos personales se comparten de forma adecuada con los procesadores externos previamente aprobados y previstos, y no con otras entidades. Un perímetro de datos
Con AWS Identity and Access Management Access Analyzer (IAM Access Analyzer), las organizaciones pueden definir una Cuenta de AWS zona de confianza y configurar alertas en caso de infracciones en esa zona de confianza. IAM Access Analyzer analiza las políticas de IAM para ayudar a identificar y resolver el acceso no intencionado público o entre cuentas a recursos potencialmente confidenciales. IAM Access Analyzer utiliza la lógica matemática y la inferencia para generar conclusiones exhaustivas sobre los recursos a los que se puede acceder desde fuera de un. Cuenta de AWS Por último, para responder a las políticas de IAM excesivamente permisivas y corregirlas, puede utilizar IAM Access Analyzer para validar las políticas existentes comparándolas con las mejores prácticas de IAM y ofrecer sugerencias. IAM Access Analyzer puede generar una política de IAM con privilegios mínimos que se base en la actividad de acceso previa de un director de IAM. Analiza CloudTrail los registros y genera una política que concede únicamente los permisos necesarios para seguir realizando esas tareas.
Para obtener más información sobre cómo se utiliza IAM Access Analyzer en un contexto de seguridad, consulte la Arquitectura de referencia AWS de seguridad.
Amazon Macie
Amazon Macie es un servicio que utiliza el aprendizaje automático y la coincidencia de patrones para descubrir datos confidenciales, proporciona visibilidad de los riesgos de seguridad de los datos y le ayuda a automatizar las protecciones contra esos riesgos. Macie genera resultados cuando detecta posibles infracciones de las políticas o problemas con la seguridad o la privacidad de sus buckets de Amazon S3. Macie es otra herramienta que las organizaciones pueden utilizar para implementar la automatización con el fin de respaldar los esfuerzos de cumplimiento. Para obtener más información sobre cómo se utiliza este servicio en un contexto de seguridad, consulte la Arquitectura de referencia AWS de seguridad.
Macie puede detectar una lista amplia y creciente de tipos de datos confidenciales, incluida la información de identificación personal (PII), como nombres, direcciones y otros atributos identificables. Incluso puede crear identificadores de datos personalizados para definir los criterios de detección que reflejen la definición de datos personales de su organización.
A medida que su organización defina controles preventivos para sus depósitos de Amazon S3 que contienen datos personales, puede utilizar Macie como mecanismo de validación para garantizar continuamente dónde se encuentran sus datos personales y cómo están protegidos. Para empezar, habilite Macie y configure la detección automática de datos confidenciales. Macie analiza continuamente los objetos de todos sus depósitos de S3, en todas las cuentas y. Regiones de AWS Macie genera y mantiene un mapa térmico interactivo que muestra dónde se encuentran los datos personales. La función de descubrimiento automatizado de datos confidenciales está diseñada para reducir los costos y minimizar la necesidad de configurar manualmente las tareas de descubrimiento. Puede aprovechar la función de descubrimiento automatizado de datos confidenciales y utilizar Macie para detectar automáticamente nuevos depósitos o nuevos datos en los depósitos existentes y, a continuación, validarlos con las etiquetas de clasificación de datos asignadas. Configure esta arquitectura para notificar oportunamente a los equipos de desarrollo y privacidad correspondientes sobre los depósitos mal clasificados o no clasificados.
Puede habilitar Macie para todas las cuentas de su organización mediante. AWS Organizations Para obtener más información, consulte Integración y configuración de una organización en Amazon Macie.