AWS Lista de verificación de mejores prácticas de la SRA - AWS Guía prescriptiva
AWS OrganizationsAWS CloudTrailAWS Security Hub CSPMAWS ConfigAmazon GuardDutyIAMAnalizador de acceso de IAMAmazon DetectiveAWS Firewall ManagerAmazon InspectorAmazon MacieAmazon Security LakeAWS WAFAWS Shield AdvancedAWS Respuesta a incidentes de seguridadAWS Audit Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Lista de verificación de mejores prácticas de la SRA

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta.

En esta sección, se resumen las prácticas recomendadas de la AWS SRA que se detallan a lo largo de esta guía en una lista de comprobación que puede seguir a medida que vaya creando su versión de la arquitectura de seguridad. AWS Utilice esta lista como punto de referencia y no como sustituto de la revisión de la guía. La lista de verificación está agrupada por Servicio de AWS. Si desea validar mediante programación su AWS entorno actual según la lista de prácticas recomendadas de la AWS SRA, puede utilizar SRA Verify.

SRA Verify es una herramienta de evaluación de la seguridad que le ayuda a evaluar la alineación de su organización con la SRA en varias regiones. AWS Cuentas de AWS Se ajusta directamente a las recomendaciones de la AWS SRA al proporcionar comprobaciones automatizadas que validan su implementación según las directrices de la AWS SRA. La herramienta le ayuda a verificar que sus servicios de seguridad estén configurados correctamente de acuerdo con la arquitectura de referencia. Proporciona conclusiones detalladas y medidas de corrección prácticas para garantizar que su AWS entorno siga las mejores prácticas de seguridad. SRA Verify está diseñado para ejecutarse AWS CodeBuild en la cuenta de auditoría de la organización (herramientas de seguridad). También puede ejecutarlo localmente o ampliarlo mediante la biblioteca SRA Verify.

nota

SRA Verify contiene comprobaciones para varios servicios, pero es posible que no contenga una verificación para cada consideración de la AWS SRA. Para obtener más información, consulte las guías de la biblioteca de la AWS SRA.

AWS Organizations

  • AWS Organizations está habilitado con todas las funciones.

  • Las políticas de control de servicios (SCPs) se utilizan para definir las directrices de control de acceso para los directores de IAM.

  • Las políticas de control de recursos (RCPs) se utilizan para definir las pautas de control de acceso de los AWS recursos.

  • Las políticas declarativas se utilizan para declarar y aplicar de forma centralizada la configuración deseada para una determinada escala Servicio de AWS en toda la organización.

  • Se OUs crean tres bases (seguridad, infraestructura y carga de trabajo) para agrupar las cuentas de los miembros que prestan servicios básicos.

  • La cuenta Security Tooling se crea en la OU de seguridad. Esta cuenta proporciona una administración centralizada de los servicios de AWS seguridad y otras herramientas de seguridad de terceros.

  • La cuenta Log Archive se crea en la OU de seguridad. Esta cuenta proporciona un repositorio central de registros Servicios de AWS y registros de aplicaciones estrictamente controlado.

  • La cuenta de red se crea en la OU de infraestructura. Esta cuenta administra la puerta de enlace entre su aplicación e Internet en general. Aísla los servicios de red, la configuración y el funcionamiento de las cargas de trabajo de las aplicaciones individuales, de la seguridad y de otras infraestructuras.

  • La cuenta de servicio compartido se crea en la OU de infraestructura. Esta cuenta admite los servicios que utilizan varias aplicaciones y equipos para ofrecer sus resultados.

  • La cuenta de la aplicación se crea en la OU de Workloads. Esta cuenta aloja la infraestructura y los servicios principales para ejecutar y mantener una aplicación empresarial. Esta guía proporciona una representación, pero en el mundo real habrá varias cuentas OUs y cuentas de miembros segregadas por aplicaciones, entornos de desarrollo y otras consideraciones de seguridad.

  • Se ha configurado información de contacto alternativa para la facturación, las operaciones y la seguridad de todas las cuentas de los miembros.

AWS CloudTrail

  • Se configura un registro de la organización que permite la entrega de eventos de CloudTrail administración en la cuenta de administración y en todas las cuentas de los miembros de una AWS organización.

  • El registro de la organización está configurado como un registro multirregional.

  • El registro de la organización está configurado para capturar los eventos de los recursos globales.

  • Los registros adicionales para capturar eventos de datos específicos se configuran según sea necesario para monitorear las actividades AWS de recursos confidenciales.

  • La cuenta Security Tooling está configurada como administradora delegada del registro de la organización.

  • El registro de la organización está configurado para activarse automáticamente en todas las cuentas de los miembros nuevos.

  • El registro de la organización está configurado para publicar los registros en un depósito de S3 centralizado que está alojado en la cuenta de Log Archive.

  • El registro de la organización tiene habilitada la validación de los archivos de registro para verificar la integridad de los archivos de registro.

  • El registro de la organización está integrado con CloudWatch los registros para conservar los registros.

  • El registro de la organización se cifra mediante una clave gestionada por el cliente.

  • El depósito central de S3 que se utiliza para el repositorio de registros de la cuenta de Log Archive se cifra con una clave gestionada por el cliente.

  • El depósito S3 central que se utiliza para el repositorio de registros de la cuenta de Log Archive está configurado con S3 Object Lock para garantizar la inmutabilidad.

  • El control de versiones está habilitado para el depósito S3 central que se utiliza para el repositorio de registros de la cuenta de Log Archive.

  • El depósito central de S3 que se utiliza para el repositorio de registros de la cuenta de Log Archive tiene definida una política de recursos que restringe la carga de objetos únicamente mediante el seguimiento de la organización a través del recurso Amazon Resource Name (ARN).

AWS Security Hub CSPM

  • El CSPM de Security Hub está habilitado para todas las cuentas de los miembros y para la cuenta de administración.

  • AWS Config está habilitado para todas las cuentas de los miembros como requisito previo para el CSPM de Security Hub.

  • La cuenta Security Tooling está configurada como administrador delegado de Security Hub CSPM.

  • Amazon GuardDuty y Amazon Detective tienen la misma cuenta de administrador delegado que Security Hub CSPM para una integración de servicios fluida.

  • La configuración central se utiliza para configurar y administrar el Security Hub CSPM en múltiples Cuentas de AWS y. Regiones de AWS

  • El administrador delegado de Security Hub CSPM designa todas las OU y las cuentas de los miembros como administradas de forma centralizada.

  • El CSPM de Security Hub se habilita automáticamente para todas las cuentas de los miembros nuevos.

  • Security Hub CSPM se habilita automáticamente para la configuración de nuevos estándares.

  • Los resultados del CSPM de Security Hub de todas las regiones se agregan a una sola región de origen.

  • Los resultados del CSPM de Security Hub de todas las cuentas de los miembros se agregan a la cuenta de Security Tooling.

  • El estándar AWS Foundational Best Practices (FSBP) de Security Hub CSPM está habilitado para todas las cuentas de los miembros.

  • El estándar CIS AWS Foundation Benchmark en Security Hub CSPM está habilitado para todas las cuentas de los miembros.

  • Otros estándares CSPM de Security Hub están habilitados según corresponda.

  • Se utiliza una regla de automatización CSPM de Security Hub para enriquecer los hallazgos con el contexto de los recursos.

  • La función de respuesta y corrección automatizadas CSPM de Security Hub se utiliza para crear EventBridge reglas personalizadas para tomar medidas automáticas en caso de hallazgos específicos.

AWS Config

  • La AWS Config grabadora está habilitada para todas las cuentas de los miembros y para la cuenta de administración.

  • La AWS Config grabadora está habilitada para todas las regiones.

  • El depósito S3 del canal de AWS Config entrega está centralizado en la cuenta de Log Archive.

  • La cuenta de administrador AWS Config delegado se establece en la cuenta Security Tooling.

  • AWS Config tiene un agregador de organizaciones configurado. El agregador incluye todas las regiones.

  • AWS Config Los paquetes de conformidad se implementan de manera uniforme en todas las cuentas de los miembros desde la cuenta de administrador delegado.

  • AWS Config las conclusiones de las reglas se envían automáticamente a Security Hub CSPM.

Amazon GuardDuty

  • GuardDuty El detector está activado para todas las cuentas de los miembros y para la cuenta de administración.

  • GuardDuty el detector está activado en todas las regiones.

  • GuardDuty el detector se activa automáticamente para todas las cuentas de los miembros nuevos.

  • GuardDuty la administración delegada se establece en la cuenta Security Tooling.

  • GuardDuty Las fuentes de datos fundamentales, como los eventos CloudTrail de administración, los registros de flujo de VPC y los registros de consultas DNS de Route 53 Resolver, están habilitadas.

  • GuardDuty La protección S3 está habilitada.

  • GuardDuty La protección contra malware para los volúmenes de EBS está habilitada.

  • GuardDuty La protección contra malware para S3 está habilitada.

  • GuardDuty La protección RDS está habilitada.

  • GuardDuty La protección Lambda está habilitada.

  • GuardDuty La protección EKS está habilitada.

  • GuardDuty La monitorización del tiempo de ejecución de EKS está habilitada.

  • GuardDuty La detección extendida de amenazas está habilitada.

  • GuardDuty Los resultados se exportan a un depósito central de S3 en la cuenta de Log Archive para su conservación.

IAM

  • No se utilizan usuarios de IAM.

  • Se aplica una administración centralizada del acceso raíz a las cuentas de los miembros.

  • La tarea centralizada de usuario raíz con privilegios para la cuenta de administración la ejecuta el administrador delegado.

  • La administración centralizada del acceso raíz se delega en la cuenta Security Tooling.

  • Se eliminan todas las credenciales raíz de la cuenta de miembro.

  • Todas las políticas de Cuenta de AWS contraseñas de los miembros y de la administración se establecen de acuerdo con el estándar de seguridad de la organización. 

  • El asesor de acceso de IAM se utiliza para revisar la última información utilizada para los grupos, usuarios, funciones y políticas de IAM.

  • Los límites de permisos se utilizan para restringir el máximo de permisos posibles para las funciones de IAM.

Analizador de acceso de IAM

  • El analizador de acceso de IAM está activado para todas las cuentas de los miembros y para la cuenta de administración.

  • El administrador delegado de IAM Access Analyzer está configurado en la cuenta Security Tooling.

  • El analizador de acceso externo de IAM Access Analyzer está configurado con la zona de confianza de la organización en cada región.

  • El analizador de acceso externo de IAM Access Analyzer está configurado con la zona de confianza de la cuenta en cada región.

  • El analizador de acceso interno de IAM Access Analyzer está configurado con la zona de confianza de la organización en cada región.

  • El analizador de acceso interno de IAM Access Analyzer está configurado con la zona de confianza de la cuenta en cada región.

  • Se crea el analizador de acceso no utilizado de IAM Access Analyzer para la cuenta corriente.

  • Se crea el analizador de acceso no utilizado de IAM Access Analyzer para la organización actual.

Amazon Detective

  • Detective está activado para todas las cuentas de los miembros.

  • Detective se activa automáticamente para todas las cuentas de miembros nuevos.

  • Detective está activado en todas las regiones.

  • El administrador delegado del Detective está configurado en la cuenta Security Tooling.

  • El administrador delegado de CSPM de Detective y Security Hub está configurado en la misma cuenta de Security Tooling. GuardDuty

  • Detective está integrado con Security Lake para almacenar y analizar registros sin procesar.

  • Detective está integrado GuardDuty para ingerir los hallazgos.

  • El Detective está ingiriendo los registros de auditoría de Amazon EKS para analizarlos.

  • El Detective está ingiriendo los registros CSPM de Security Hub para analizarlos.

AWS Firewall Manager

  • Se han establecido las políticas de seguridad de Firewall Manager.

  • El administrador delegado de Firewall Manager está configurado en la cuenta Security Tooling.

  • AWS Config está habilitada como requisito previo.

  • Se configuran varios administradores de Firewall Manager con un alcance restringido por unidad organizativa, cuenta y región.

  • Se define una política AWS WAF de seguridad de Firewall Manager.

  • Se define una política de registro AWS WAF centralizada de Firewall Manager.

  • Se define una política de seguridad avanzada de Firewall Manager Shield.

  • Se define una política de seguridad del grupo de seguridad de Firewall Manager.

Amazon Inspector

  • Amazon Inspector está activado para todas las cuentas de los miembros.

  • Amazon Inspector se activa automáticamente para cualquier cuenta de miembro nuevo.

  • El administrador delegado de Amazon Inspector está configurado en la cuenta Security Tooling.

  • El escaneo de EC2 vulnerabilidades de Amazon Inspector está activado.

  • El escaneo de vulnerabilidades de imágenes ECR de Amazon Inspector está activado.

  • El escaneo de vulnerabilidades de capas y funciones de Amazon Inspector Lambda está activado.

  • El escaneo de código Lambda de Amazon Inspector está activado.

  • El escaneo de seguridad del código de Amazon Inspector está activado.

Amazon Macie

  • Macie está activado para las cuentas de los miembros correspondientes.

  • Macie se habilita automáticamente para las nuevas cuentas de miembros aplicables.

  • El administrador delegado de Macie está configurado en la cuenta Security Tooling.

  • Los resultados de Macie se exportan a un depósito S3 central en la cuenta de log Archive.

  • Los depósitos de S3 que almacenan los hallazgos de Macie están cifrados con una clave gestionada por el cliente.

  • La política de Macie y la política de clasificación se publican en Security Hub CSPM.

Amazon Security Lake

  • La configuración de la organización de Security Lake está habilitada.

  • El administrador delegado de Security Lake está configurado en la cuenta Security Tooling.

  • La configuración de la organización de Security Lake está habilitada para las cuentas de los nuevos miembros.

  • La cuenta Security Tooling está configurada como suscriptora de acceso a datos para analizar los registros.

  • La cuenta Security Tooling está configurada como suscriptora de consultas de datos para analizar los registros.

  • Hay una fuente CloudTrail de registro de administración habilitada para Security Lake en todas las cuentas de los miembros activos o en algunas de ellas.

  • Se habilita una fuente de registro de flujo de VPC para Security Lake en todas las cuentas de los miembros activos o en las especificadas.

  • Hay una fuente de registro de Route 53 habilitada para Security Lake en todas las cuentas de los miembros activos o en las específicas.

  • CloudTrail El evento de datos de una fuente de registro de S3 está habilitado para Security Lake en todas las cuentas de los miembros activos o en algunas de ellas.

  • Se habilita una fuente de registro de ejecución de Lambda para Security Lake en todas las cuentas de los miembros activos o en las especificadas.

  • Hay una fuente de registro de auditoría de Amazon EKS habilitada para Security Lake en todas las cuentas de miembros activos o en determinadas cuentas.

  • Hay una fuente de registro de hallazgos de Security Hub habilitada para Security Lake en todas las cuentas de los miembros activos o en las especificadas.

  • Hay una fuente de AWS WAF registro habilitada para Security Lake en todas las cuentas de los miembros activos o en las específicas.

  • Las colas SQS de Security Lake de la cuenta de administrador delegado se cifran con una clave gestionada por el cliente.

  • La cola de letras muertas SQS de Security Lake de la cuenta de administrador delegado está cifrada con una clave gestionada por el cliente.

  • El depósito S3 de Security Lake está cifrado con una clave gestionada por el cliente.

  • El depósito S3 de Security Lake tiene una política de recursos que solo restringe el acceso directo de Security Lake.

AWS WAF

  • Todas las CloudFront distribuciones están asociadas a. AWS WAF

  • Todos los REST de Amazon API Gateway APIs están asociados a AWS WAF.

  • Todos los balanceadores de carga de aplicaciones están asociados AWS WAF a.

  • Todos los AWS AppSync GraphQL APIs están asociados a. AWS WAF

  • Todos los grupos de usuarios de Amazon Cognito están asociados a. AWS WAF

  • Todos los AWS App Runner servicios están asociados AWS WAF a.

  • Todas las Acceso verificado de AWS instancias están asociadas a AWS WAF.

  • Todas AWS Amplify las aplicaciones están asociadas a AWS WAF.

  • AWS WAF el registro está activado.

  • AWS WAF los registros están centralizados en un depósito de S3 en la cuenta de Log Archive.

AWS Shield Advanced

  • La suscripción Shield Advanced está habilitada y configurada para renovarse automáticamente en todas las cuentas de aplicaciones que tengan recursos públicos.

  • Shield Advanced está configurado para todas las CloudFront distribuciones.

  • Shield Advanced está configurado para todos los balanceadores de carga de aplicaciones.

  • Shield Advanced está configurado para todos los balanceadores de carga de red.

  • Shield Advanced está configurado para todas las zonas alojadas en Route 53.

  • Shield Advanced está configurado para todas las direcciones IP elásticas.

  • Shield Advanced está configurado para todos los aceleradores globales.

  • CloudWatch las alarmas están configuradas para CloudFront los recursos de Route 53 que están protegidos por Shield Advanced.

  • El acceso a Shield Response Team (SRT) está configurado.

  • La interacción proactiva de Shield Advanced está habilitada.

  • Los contactos de participación proactiva de Shield Advanced están configurados.

  • Los recursos protegidos de Shield Advanced tienen una AWS WAF regla personalizada configurada.

  • Los recursos protegidos de Shield Advanced tienen habilitada la mitigación automática de la capa DDo S de aplicación.

AWS Respuesta a incidentes de seguridad

  • AWS La respuesta a incidentes de seguridad está habilitada para toda la AWS organización.

  • El administrador delegado AWS de la respuesta a incidentes de seguridad está configurado en la cuenta Security Tooling.

  • El flujo de trabajo de respuesta proactiva y clasificación de alertas está activado.

  • AWS Se autorizan las acciones de contención del equipo de respuesta a incidentes del cliente (CIRT).

AWS Audit Manager

  • Audit Manager está activado para todas las cuentas de los miembros.

  • Audit Manager se activa automáticamente para las cuentas de los nuevos miembros.

  • El administrador delegado de Audit Manager está configurado en la cuenta Security Tooling.

  • AWS Config está activado como requisito previo para Audit Manager.

  • Se utiliza una clave gestionada por el cliente para los datos almacenados en Audit Manager.

  • El destino predeterminado del informe de evaluación está configurado.