Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Recomendaciones de control de seguridad para proteger la infraestructura
La protección de la infraestructura es una parte clave de cualquier programa de seguridad. Incluye metodologías de control que le ayudan a proteger sus redes y recursos informáticos. Algunos ejemplos de protección de infraestructuras son los límites de confianza, un defense-in-depth enfoque, el refuerzo de la seguridad, la administración de parches y la autenticación y autorización del sistema operativo. Para obtener más información, consulte Protección de la infraestructura en el AWS Well-Architected Framework. Los controles de seguridad de esta sección pueden ayudarle a implementar las mejores prácticas para la protección de la infraestructura.
Controles de esta sección:
Especifique los objetos raíz predeterminados para las CloudFront distribuciones
Escanee el código de la aplicación para identificar problemas de seguridad comunes
Cree capas de red mediante subredes y subredes dedicadas VPCs
Restrinja el tráfico entrante solo a los puertos autorizados
Bloquear el acceso público a los documentos de Systems Manager
Restrinja el tráfico entrante y saliente en el grupo de seguridad predeterminado
Escanee en busca de vulnerabilidades de software y de exposición no intencionada a la red
Utilice un defense-in-depth enfoque para controlar el tráfico de la red
Especifique los objetos raíz predeterminados para las CloudFront distribuciones
Amazon CloudFront acelera la distribución de tu contenido web al distribuirlo a través de una red mundial de centros de datos, lo que reduce la latencia y mejora el rendimiento. Si no define un objeto raíz predeterminado, las solicitudes de la raíz de su distribución pasarán a su servidor de origen. Si utilizas un origen de Amazon Simple Storage Service (Amazon S3), la solicitud podría devolver una lista del contenido de tu bucket de S3 o una lista del contenido privado de tu origen. Especificar un objeto raíz predeterminado le ayuda a evitar que se exponga el contenido de su distribución.
Para obtener más información, consulte los siguientes recursos:
-
Especificar un objeto raíz predeterminado en la CloudFront documentación
Escanee el código de la aplicación para identificar problemas de seguridad comunes
El AWS Well-Architected Framework recomienda escanear las bibliotecas y las dependencias en busca de problemas y defectos. Existen muchas herramientas de análisis de código fuente que puede utilizar para escanear el código fuente. Por ejemplo, Amazon CodeGuru puede buscar problemas de seguridad comunes en Java o Python aplicaciones y proporciona recomendaciones para su corrección.
Para obtener más información, consulte los siguientes recursos:
-
herramientas de análisis de código fuente
en OWASP Foundation sitio web -
Realice la gestión de vulnerabilidades en el AWS Well-Architected Framework
Cree capas de red mediante subredes y subredes dedicadas VPCs
El AWS Well-Architected Framework recomienda agrupar los componentes que comparten requisitos de sensibilidad en capas. Esto minimiza el alcance potencial del impacto del acceso no autorizado. Por ejemplo, un clúster de base de datos que no requiere acceso a Internet debe colocarse en una subred privada de su VPC para garantizar que no haya una ruta hacia o desde Internet.
AWS ofrece muchos servicios que pueden ayudarle a probar e identificar la accesibilidad pública. Por ejemplo, Reachability Analyzer es una herramienta de análisis de configuración que le ayuda a probar la conectividad entre los recursos de origen y destino de su. VPCs Además, Network Access Analyzer puede ayudarlo a identificar el acceso no deseado a la red a los recursos.
Para obtener más información, consulte los siguientes recursos:
-
Cree capas de red en AWS Well-Architected Framework
-
Creación de una subred en la documentación de Amazon Virtual Private Cloud (Amazon VPC)
Restrinja el tráfico entrante solo a los puertos autorizados
El acceso sin restricciones, como el tráfico de la dirección IP de 0.0.0.0/0 origen, aumenta el riesgo de actividad maliciosa, como la piratería informática, los ataques denial-of-service (DoS) y la pérdida de datos. Los grupos de seguridad proporcionan un filtrado detallado del tráfico de la red que ingresa y sale a los recursos. AWS Ningún grupo de seguridad debe permitir el acceso sin restricciones a puertos conocidos, como SSH y Windows protocolo de escritorio remoto (RDP). Para el tráfico entrante, en sus grupos de seguridad, permita únicamente las conexiones TCP o UDP en los puertos autorizados. Para conectarse a instancias de Amazon Elastic Compute Cloud (Amazon EC2), utilice Session Manager o Run Command en lugar del acceso directo por SSH o RDP.
Para obtener más información, consulte los siguientes recursos:
-
Trabaja con grupos de seguridad en la EC2 documentación de Amazon
-
Controle el tráfico a sus AWS recursos mediante los grupos de seguridad de la documentación de Amazon VPC
Bloquear el acceso público a los documentos de Systems Manager
A menos que su caso de uso requiera que esté activada la compartición pública, las prácticas AWS Systems Manager recomendadas recomiendan bloquear la compartición pública de los documentos de Systems Manager. El uso compartido público puede proporcionar un acceso no deseado a los documentos. Un documento público de Systems Manager puede exponer información valiosa y confidencial sobre su cuenta, sus recursos y sus procesos internos.
Para obtener más información, consulte los siguientes recursos:
-
Mejores prácticas para los documentos de Systems Manager compartidos en la documentación de Systems Manager
-
Modificar los permisos de un documento compartido de Systems Manager en la documentación de Systems Manager
Bloquear el acceso público a las funciones de Lambda
AWS Lambda es un servicio de computación que ayuda a ejecutar código sin necesidad de aprovisionar ni administrar servidores. Las funciones Lambda no deben ser de acceso público, ya que esto podría permitir el acceso no deseado al código de la función.
Le recomendamos que configure políticas basadas en recursos para que las funciones de Lambda denieguen el acceso desde fuera de su cuenta. Para ello, puede eliminar los permisos o añadir la AWS:SourceAccount condición a la declaración que permite el acceso. Puede actualizar las políticas basadas en recursos para las funciones de Lambda a través de la API de Lambda o (). AWS Command Line Interface AWS CLI
También le recomendamos que habilite la función [Lambda.1] Las políticas de la función Lambda deberían prohibir el control de acceso público en. AWS Security Hub Este control valida que las políticas basadas en recursos para las funciones de Lambda prohíben el acceso público.
Para obtener más información, consulte los siguientes recursos:
-
AWS Lambda controles en la documentación de Security Hub
-
Uso de políticas basadas en recursos para Lambda en la documentación de Lambda
-
Recursos y condiciones para las acciones de Lambda en la documentación de Lambda
Restrinja el tráfico entrante y saliente en el grupo de seguridad predeterminado
Si no asocias un grupo de seguridad personalizado al aprovisionar un AWS recurso, el recurso se asocia al grupo de seguridad predeterminado de la VPC. Las reglas predeterminadas de este grupo de seguridad permiten todo el tráfico entrante de todos los recursos asignados a este grupo de seguridad, así como todo el tráfico saliente IPv4 . IPv6 Esto podría permitir el tráfico no deseado hacia el recurso.
AWS recomienda no utilizar el grupo de seguridad predeterminado. En su lugar, cree grupos de seguridad personalizados para recursos o grupos de recursos específicos.
Como el grupo de seguridad predeterminado no se puede eliminar, le recomendamos que cambie las reglas del grupo de seguridad predeterminado para restringir el tráfico entrante y saliente. Al configurar las reglas de los grupos de seguridad, siga el principio del privilegio mínimo.
También le recomendamos que habilite la VPC [EC2.2] Los grupos de seguridad predeterminados no deben permitir el control del tráfico entrante o saliente en Security Hub. Este control valida que el grupo de seguridad predeterminado de una VPC deniegue el tráfico entrante y saliente.
Para obtener más información, consulte los siguientes recursos:
-
Grupos de seguridad predeterminados para usted VPCs en la documentación de Amazon VPC
-
EC2Controles de Amazon en la documentación de Security Hub
Escanee en busca de vulnerabilidades de software y de exposición no intencionada a la red
Te recomendamos que habilites Amazon Inspector en todas tus cuentas. Amazon Inspector es un servicio de administración de vulnerabilidades que analiza continuamente las EC2 instancias de Amazon, las imágenes de contenedores del Amazon Elastic Container Registry (Amazon ECR) y las funciones de Lambda para detectar vulnerabilidades de software y exposiciones no intencionadas en la red. También admite la inspección exhaustiva de las EC2 instancias de Amazon. Cuando Amazon Inspector identifica una vulnerabilidad o una ruta de red abierta, produce un hallazgo que usted puede investigar. Si Amazon Inspector y Security Hub están configurados en tu cuenta, Amazon Inspector envía automáticamente los resultados de seguridad a Security Hub para su administración centralizada.
Para obtener más información, consulte los siguientes recursos:
-
Escaneo de recursos con Amazon Inspector en la documentación de Amazon Inspector
-
Amazon Inspector: Inspección exhaustiva de Amazon EC2 en la documentación de Amazon Inspector
-
Escanea EC2 AMIs con Amazon Inspector
en el blog AWS de seguridad -
Elaboración de un programa escalable de gestión de vulnerabilidades basado AWS en AWS Prescriptive Guidance
-
Automatice la protección de la red en AWS Well-Architected Framework
-
Automatice la protección informática en AWS Well-Architected Framework
Configure AWS WAF
AWS WAFes un firewall de aplicaciones web que le ayuda a supervisar y bloquear las solicitudes HTTP o HTTPS que se reenvían a los recursos de aplicaciones web protegidas, como Amazon API Gateway APIs, CloudFront las distribuciones de Amazon o los balanceadores de carga de aplicaciones. Según los criterios que especifique, el servicio responde a las solicitudes con el contenido solicitado, con un código de estado HTTP 403 (prohibido) o con una respuesta personalizada. AWS WAF puede ayudar a proteger las aplicaciones web o APIs contra las vulnerabilidades web más comunes que pueden afectar a la disponibilidad, comprometer la seguridad o consumir recursos excesivos. Considere la posibilidad de configurar AWS WAF Cuentas de AWS y utilizar una combinación de reglas AWS administradas, reglas personalizadas e integraciones de socios para ayudar a proteger sus aplicaciones de los ataques en la capa de aplicación (capa 7).
Para obtener más información, consulte los siguientes recursos:
-
Para empezar, consulte AWS WAF la documentación AWS WAF
-
AWS WAF socios de entrega
en el AWS sitio web -
Automatizaciones de seguridad para AWS WAF
la biblioteca de AWS soluciones -
Implemente la inspección y la protección en el marco de AWS Well-Architected
Configure protecciones avanzadas contra los ataques S DDo
AWS Shieldproporciona protección contra los ataques de denegación de servicio (DDoS) distribuidos contra AWS los recursos de las capas de red y transporte (capas 3 y 4) y la capa de aplicaciones (capa 7). Este servicio está disponible en dos opciones: AWS Shield Standard y AWS Shield Advanced. Shield Standard protege automáticamente AWS los recursos compatibles, sin coste adicional.
Le recomendamos que se suscriba a Shield Advanced, que proporciona una protección ampliada contra ataques DDo S para recursos protegidos. Las protecciones que recibe de Shield Advanced varían en función de la arquitectura y las opciones de configuración. Considere la posibilidad de implementar las protecciones Shield Advanced para las aplicaciones en las que necesite alguno de los siguientes requisitos:
-
Disponibilidad garantizada para los usuarios de la aplicación.
-
Acceso rápido a expertos en mitigación DDo S si la aplicación se ve afectada por un ataque DDo S.
-
Conciencia por parte de AWS de que la aplicación podría verse afectada por un ataque DDo tipo S y notificación de los ataques por parte de AWS y su intensificación a sus equipos de seguridad u operaciones.
-
Los costes de la nube son predecibles, incluso si un ataque DDo tipo S afecta al uso de Servicios de AWS.
Para obtener más información, consulte los siguientes recursos:
-
AWS Shield Advanced información general en la documentación de Shield
-
AWS Shield Advanced recursos protegidos en la documentación de Shield
-
AWS Shield Advanced capacidades y opciones en la documentación de Shield
-
Respuesta a los eventos DDo S en la documentación de Shield
-
Implemente la inspección y la protección en el marco de AWS Well-Architected
Utilice un defense-in-depth enfoque para controlar el tráfico de la red
AWS Network Firewall es un firewall de red gestionado y con estado y un servicio de detección y prevención de intrusiones para nubes privadas virtuales (VPCs) en el. Nube de AWS Le ayuda a implementar protecciones de red esenciales en el perímetro de la VPC. Esto incluye filtrar el tráfico que entra y viene de una puerta de enlace de Internet, una puerta de enlace NAT o a través de una VPN o AWS Direct Connect. Network Firewall incluye funciones que ayudan a proteger contra las amenazas de red más comunes. El firewall con estado de Network Firewall puede incorporar el contexto de los flujos de tráfico, como las conexiones y los protocolos, para hacer cumplir las políticas.
Para obtener más información, consulte los siguientes recursos:
-
Controle el tráfico en todos los niveles del AWS Well-Architected Framework
