Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de repositorios de código para AWS SRA
Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta |
Para ayudarle a empezar a crear e implementar las directrices de la SRA de AWS, esta guía incluye un repositorio de infraestructura como código (IaC) en https://github.com/aws-samples/aws-security-reference-architecture-examples
El repositorio de código SRA de AWS proporciona ejemplos de código con opciones de implementación de AWS CloudFormation y Terraform. Los patrones de solución admiten dos entornos: uno requiere AWS Control Tower y el otro usa AWS Organizations sin AWS Control Tower. Las soluciones de este repositorio que requieren la Torre de Control de AWS se han implementado y probado en un entorno de Torre de Control de AWS mediante AWS CloudFormation y las personalizaciones para la Torre de Control de AWS (cFCT)
Este es un resumen de las soluciones del repositorio SRA de AWS
-
La solución CloudTrail Organization
crea un registro de la organización dentro de la cuenta de administración de la organización y delega la administración en una cuenta de miembro, como la cuenta de auditoría o de herramientas de seguridad. Este registro se cifra con una clave gestionada por el cliente creada en la cuenta de Security Tooling y envía los registros a un depósito de S3 de la cuenta de Log Archive. Opcionalmente, los eventos de datos se pueden habilitar para las funciones de Amazon S3 y AWS Lambda. Un registro de la organización registra los eventos de todas las cuentas de AWS de la organización de AWS e impide que las cuentas de los miembros modifiquen las configuraciones. -
La solución GuardDuty Organization
permite a Amazon GuardDuty delegar la administración en la cuenta de Security Tooling. Se configura GuardDuty dentro de la cuenta Security Tooling para todas las cuentas de organizaciones de AWS existentes y futuras. Los GuardDuty resultados también se cifran con una clave KMS y se envían a un bucket de S3 de la cuenta de Log Archive. -
La solución Security Hub Organization
configura AWS Security Hub delegando la administración en la cuenta de Security Tooling. Configura Security Hub dentro de la cuenta Security Tooling para todas las cuentas de organizaciones de AWS existentes y futuras. La solución también proporciona parámetros para sincronizar los estándares de seguridad habilitados en todas las cuentas y regiones, así como para configurar un agregador de regiones dentro de la cuenta de Security Tooling. La centralización de Security Hub en la cuenta de Security Tooling proporciona una visión transversal del cumplimiento de las normas de seguridad y de los resultados tanto de los servicios de AWS como de las integraciones de socios de AWS de terceros. -
La solución Inspector
configura Amazon Inspector en la cuenta del administrador delegado (Security Tooling) para todas las cuentas y regiones gobernadas por la organización de AWS. -
La solución Firewall Manager
configura las políticas de seguridad de AWS Firewall Manager delegando la administración en la cuenta de Security Tooling y configurando Firewall Manager con una política de grupo de seguridad y varias políticas de AWS WAF. La política de grupo de seguridad requiere un grupo de seguridad máximo permitido dentro de una VPC (existente o creada por la solución), que la solución implementa. -
La solución Macie Organization
permite a Amazon Macie delegar la administración en la cuenta Security Tooling. Configura a Macie dentro de la cuenta Security Tooling para todas las cuentas de organizaciones de AWS existentes y futuras. Además, Macie está configurado para enviar los resultados de su descubrimiento a un depósito S3 central que está cifrado con una clave KMS. -
AWS Config
-
La solución Config Aggregator
configura un agregador de AWS Config delegando la administración en la cuenta de Security Tooling. A continuación, la solución configura un agregador de AWS Config en la cuenta de Security Tooling para todas las cuentas existentes y futuras de la organización de AWS. -
La solución Conformance Pack Organization Rules implementa las reglas
de AWS Config al delegar la administración en la cuenta de Security Tooling. A continuación, crea un paquete de conformidad organizacional en la cuenta de administrador delegado para todas las cuentas existentes y futuras de la organización de AWS. La solución está configurada para implementar la plantilla de ejemplo del paquete de conformidad con las mejores prácticas operativas para el cifrado y la administración de claves. -
La solución de cuentas de administración de la Torre de Control de AWS Config
habilita AWS Config en la cuenta de administración de la Torre de Control de AWS y actualiza el agregador de AWS Config en la cuenta de herramientas de seguridad en consecuencia. La solución utiliza la CloudFormation plantilla AWS Control Tower para habilitar AWS Config como referencia y garantizar la coherencia con las demás cuentas de la organización de AWS.
-
-
IAM
-
La solución Access Analyzer
habilita AWS IAM Access Analyzer al delegar la administración en la cuenta de Security Tooling. A continuación, configura un analizador de acceso a nivel de organización dentro de la cuenta Security Tooling para todas las cuentas existentes y futuras de la organización de AWS. La solución también implementa Access Analyzer en todas las cuentas de los miembros y regiones para facilitar el análisis de los permisos a nivel de cuenta. -
La solución de política de contraseñas de IAM
actualiza la política de contraseñas de las cuentas de AWS en todas las cuentas de una organización de AWS. La solución proporciona parámetros para configurar los ajustes de la política de contraseñas a fin de ayudarle a cumplir con los estándares de conformidad del sector.
-
-
La solución de cifrado de EBS predeterminada de EC2 permite el cifrado
de Amazon EBS predeterminado a nivel de cuenta en cada cuenta y región de AWS de la organización de AWS. Aplica el cifrado de los nuevos volúmenes e instantáneas de EBS que cree. Por ejemplo, Amazon EBS cifra los volúmenes de EBS que se crean al lanzar una instancia y las instantáneas que se copian de una instantánea no cifrada. -
La solución S3 Block Account Public Access
habilita la configuración a nivel de cuenta de Amazon S3 en cada cuenta de AWS de la organización de AWS. La característica Block Public Access de Amazon S3 proporciona la configuración de los puntos de acceso, los buckets y las cuentas, con el fin de ayudarle a administrar el acceso público a los recursos de Amazon S3. De forma predeterminada, los buckets, puntos de acceso y objetos nuevos no permiten el acceso público. Sin embargo, los usuarios pueden modificar las políticas de bucket, las políticas de punto de acceso o los permisos de objeto para permitir el acceso público. La configuración de bloqueo de acceso público de Amazon S3 anula estas políticas y permisos para que pueda limitar el acceso público a estos recursos. -
La solución Detective Organization
automatiza la activación de Amazon Detective al delegar la administración en una cuenta (como la cuenta de auditoría o de herramientas de seguridad) y la configuración de Detective para todas las cuentas de AWS Organization existentes y futuras. -
La solución Shield Advanced
automatiza la implementación de AWS Shield Advanced para proporcionar una protección DDoS mejorada para sus aplicaciones en AWS. -
La solución AMI Bakery Organization
ayuda a automatizar el proceso de creación y gestión de imágenes reforzadas y estándares de Amazon Machine Image (AMI). Esto garantiza la coherencia y la seguridad en todas sus instancias de AWS y simplifica las tareas de implementación y mantenimiento.