Implementación, integración y validación de la seguridad - AWS Guía prescriptiva
ImplementaciónIntegraciónValidación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Implementación, integración y validación de la seguridad

Tras definir sus requisitos de seguridad, riesgo y conformidad, el siguiente dominio es la implementación, la integración y la validación de la seguridad. En función de los requisitos identificados, elija los controles y las medidas de seguridad adecuados para mitigar los riesgos de forma eficaz. Esto puede incluir el cifrado, los controles de acceso, los sistemas de detección de intrusos o los firewalls. Integre las soluciones de seguridad, como los sistemas de detección y prevención de intrusiones, la protección de terminales y la gestión de identidades, en la infraestructura de TI existente para ofrecer una cobertura de seguridad integral. Realice evaluaciones de seguridad periódicas, incluidas la detección de vulnerabilidades, las pruebas de penetración y la revisión del código, para validar la eficacia de los controles de seguridad e identificar las debilidades o deficiencias. Al centrarse en la implementación, la integración y la validación de la seguridad, las organizaciones pueden reforzar su postura de seguridad, reducir la probabilidad de que se produzcan infracciones de seguridad y demostrar el cumplimiento de los requisitos reglamentarios y los estándares del sector.

Implementación

En primer lugar, actualice la documentación para adaptarla a su nivel actual de seguridad, riesgo y cumplimiento normativo. Esto le permite implementar los requisitos, controles, políticas y herramientas de seguridad y cumplimiento planificados en la nube. Este paso solo es necesario si ya cuenta con un registro de riesgos y tiene definidas sus preferencias, las cuales se habrían identificado durante los talleres de descubrimiento.

A continuación, debe implementar los requisitos, controles, políticas y herramientas de seguridad y cumplimiento planificados en la nube. Le recomendamos que los implemente en el siguiente orden: infraestructura, sistema operativo y Servicios de AWS, a continuación, aplicación o base de datos. Utilice la información de la siguiente tabla para asegurarse de haber abordado todas las áreas requeridas de seguridad y cumplimiento.

Área

Requisitos de seguridad y conformidad

Infraestructura

  • Cuenta de AWS

  • Zona de aterrizaje

    • Controles preventivos

    • Controles de detección

  • Segmentación de la red

  • Control de acceso

  • Cifrado

  • Registro, supervisión y alertas

Servicios de AWS

  • Servicio de AWS configuración

  • instancias

    • Almacenamiento

    • Network

  • Control de acceso

  • Cifrado

  • Actualizaciones y parches

  • Registro, supervisión y alertas

Sistema operativo

  • Antivirus

  • Protección contra malware y gusanos

  • Configuración

  • Protección de redes

  • Control de acceso

  • Cifrado

  • Actualizaciones y parches

  • Registro, supervisión y alertas

Aplicación o base de datos

  • Configuración

  • Código y esquema

  • Control de acceso

  • Cifrado

  • Actualizaciones y parches

  • Registro, supervisión y alertas

Integración

La implementación de la seguridad a menudo requiere la integración con lo siguiente:

  • Redes: redes dentro y fuera del Nube de AWS

  • Entorno de TI híbrido: entornos de TI distintos del entorno Nube de AWS, como los locales, las nubes públicas, las nubes privadas y las ubicaciones

  • Software o servicios externos: software y servicios gestionados por proveedores de software independientes (ISVs) y que no están alojados en su entorno.

  • Servicios de modelo operativo en AWS la nube: servicios de modelo operativo en la nube que proporcionan DevSecOps capacidades.

Durante la fase de evaluación de su proyecto de migración, utilice las herramientas de detección, la documentación existente o los talleres de entrevistas con las aplicaciones para identificar y confirmar estos puntos de integración de la seguridad. Al diseñar e implementar las cargas de trabajo en el Nube de AWS, establezca estas integraciones de acuerdo con las políticas y los procesos de seguridad y cumplimiento que definió durante los talleres de mapeo.

Validación

Tras la implementación y la integración, la siguiente actividad consiste en validar la implementación. Asegúrese de que la configuración esté alineada con las AWS mejores prácticas de seguridad y cumplimiento. Le recomendamos que valide la seguridad en dos áreas de cobertura:

  • Evaluación de vulnerabilidades y pruebas de penetración específicas de la carga de trabajo: valide la seguridad del sistema operativo, la aplicación, la base de datos o la red de las cargas de trabajo en las que se ejecutan. Servicios de AWS Para llevar a cabo estas validaciones, utilice las herramientas y los scripts de prueba existentes. Al realizar estas evaluaciones, es importante cumplir con la política de atención al cliente en materia de pruebas de AWS penetración.

  • AWSvalidación de las mejores prácticas de seguridad: compruebe si su AWS implementación cumple con el AWS Well Architected Framework y otros parámetros seleccionados, como el Center for Internet Security (CIS). Para esta validación, puede utilizar herramientas y servicios como Prowler (GitHub) AWS Trusted Advisor, AWS Service Screener () o AWS Self-Service Security Assessment (GitHub). GitHub

Es importante documentar y comunicar todos los hallazgos de seguridad y conformidad al equipo de seguridad y a los líderes. Estandarice las plantillas de informes y utilícelas para facilitar la comunicación con las partes interesadas en materia de seguridad respectivas. Documente todas las excepciones realizadas durante la búsqueda de soluciones y asegúrese de que las partes interesadas en materia de seguridad correspondientes las aprueben.