Ejemplos de repositorios de código para AWS SRA - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos de repositorios de código para AWS SRA

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta.

Para ayudarle a empezar a crear e implementar las directrices de la SRA de AWS, esta guía incluye un repositorio de infraestructura como código (IaC) en https://github.com/aws-samples/aws-security-reference-architecture-examples. Este repositorio contiene código para ayudar a los desarrolladores e ingenieros a implementar algunas de las guías y patrones de arquitectura que se presentan en este documento. Este código se basa en la experiencia de primera mano de los consultores de AWS Professional Services con los clientes. Las plantillas son de naturaleza general; su objetivo es ilustrar un patrón de implementación en lugar de proporcionar una solución completa. Las configuraciones de los servicios y las implementaciones de recursos de AWS son deliberadamente muy restrictivas. Es posible que necesite modificar y adaptar estas soluciones para adaptarlas a sus necesidades de entorno y seguridad.

El repositorio de código SRA de AWS proporciona ejemplos de código con opciones de implementación de AWS CloudFormation y Terraform. Los patrones de solución admiten dos entornos: uno requiere AWS Control Tower y el otro usa AWS Organizations sin AWS Control Tower. Las soluciones de este repositorio que requieren la Torre de Control de AWS se han implementado y probado en un entorno de Torre de Control de AWS mediante AWS CloudFormation y las personalizaciones para la Torre de Control de AWS (cFCT). Las soluciones que no requieren la Torre de Control de AWS se han probado en un entorno de AWS Organizations mediante AWS CloudFormation. La solución cFCT ayuda a los clientes a configurar rápidamente un entorno de AWS seguro y multicuenta basado en las prácticas recomendadas de AWS. Ayuda a ahorrar tiempo al automatizar la configuración de un entorno para ejecutar cargas de trabajo seguras y escalables, al tiempo que implementa una base de seguridad inicial mediante la creación de cuentas y recursos. AWS Control Tower también proporciona un entorno básico para comenzar con una arquitectura de múltiples cuentas, administración de identidades y accesos, gobierno, seguridad de datos, diseño de redes y registro. Las soluciones del repositorio SRA de AWS proporcionan configuraciones de seguridad adicionales para implementar los patrones descritos en este documento.

Este es un resumen de las soluciones del repositorio SRA de AWS. Cada solución incluye un archivo README.md con detalles. 

  • La solución CloudTrail Organization crea un registro de la organización dentro de la cuenta de administración de la organización y delega la administración en una cuenta de miembro, como la cuenta de auditoría o de herramientas de seguridad. Este registro se cifra con una clave gestionada por el cliente creada en la cuenta de Security Tooling y envía los registros a un depósito de S3 de la cuenta de Log Archive. Opcionalmente, los eventos de datos se pueden habilitar para las funciones de Amazon S3 y AWS Lambda. Un registro de la organización registra los eventos de todas las cuentas de AWS de la organización de AWS e impide que las cuentas de los miembros modifiquen las configuraciones.

  • La solución GuardDuty Organization permite a Amazon GuardDuty delegar la administración en la cuenta de Security Tooling. Se configura GuardDuty dentro de la cuenta Security Tooling para todas las cuentas de organizaciones de AWS existentes y futuras. Los GuardDuty resultados también se cifran con una clave KMS y se envían a un bucket de S3 de la cuenta de Log Archive.

  • La solución Security Hub Organization configura AWS Security Hub delegando la administración en la cuenta de Security Tooling. Configura Security Hub dentro de la cuenta Security Tooling para todas las cuentas de organizaciones de AWS existentes y futuras. La solución también proporciona parámetros para sincronizar los estándares de seguridad habilitados en todas las cuentas y regiones, así como para configurar un agregador de regiones dentro de la cuenta de Security Tooling. La centralización de Security Hub en la cuenta de Security Tooling proporciona una visión transversal del cumplimiento de las normas de seguridad y de los resultados tanto de los servicios de AWS como de las integraciones de socios de AWS de terceros.

  • La solución Inspector configura Amazon Inspector en la cuenta del administrador delegado (Security Tooling) para todas las cuentas y regiones gobernadas por la organización de AWS.

  • La solución Firewall Manager configura las políticas de seguridad de AWS Firewall Manager delegando la administración en la cuenta de Security Tooling y configurando Firewall Manager con una política de grupo de seguridad y varias políticas de AWS WAF. La política de grupo de seguridad requiere un grupo de seguridad máximo permitido dentro de una VPC (existente o creada por la solución), que la solución implementa.

  • La solución Macie Organization permite a Amazon Macie delegar la administración en la cuenta Security Tooling. Configura a Macie dentro de la cuenta Security Tooling para todas las cuentas de organizaciones de AWS existentes y futuras. Además, Macie está configurado para enviar los resultados de su descubrimiento a un depósito S3 central que está cifrado con una clave KMS.

  • AWS Config

    • La solución Config Aggregator configura un agregador de AWS Config delegando la administración en la cuenta de Security Tooling. A continuación, la solución configura un agregador de AWS Config en la cuenta de Security Tooling para todas las cuentas existentes y futuras de la organización de AWS.

    • La solución Conformance Pack Organization Rules implementa las reglas de AWS Config al delegar la administración en la cuenta de Security Tooling. A continuación, crea un paquete de conformidad organizacional en la cuenta de administrador delegado para todas las cuentas existentes y futuras de la organización de AWS. La solución está configurada para implementar la plantilla de ejemplo del paquete de conformidad con las mejores prácticas operativas para el cifrado y la administración de claves.

    • La solución de cuentas de administración de la Torre de Control de AWS Config habilita AWS Config en la cuenta de administración de la Torre de Control de AWS y actualiza el agregador de AWS Config en la cuenta de herramientas de seguridad en consecuencia. La solución utiliza la CloudFormation plantilla AWS Control Tower para habilitar AWS Config como referencia y garantizar la coherencia con las demás cuentas de la organización de AWS.

  • IAM

    • La solución Access Analyzer habilita AWS IAM Access Analyzer al delegar la administración en la cuenta de Security Tooling. A continuación, configura un analizador de acceso a nivel de organización dentro de la cuenta Security Tooling para todas las cuentas existentes y futuras de la organización de AWS. La solución también implementa Access Analyzer en todas las cuentas de los miembros y regiones para facilitar el análisis de los permisos a nivel de cuenta.

    • La solución de política de contraseñas de IAM actualiza la política de contraseñas de las cuentas de AWS en todas las cuentas de una organización de AWS. La solución proporciona parámetros para configurar los ajustes de la política de contraseñas a fin de ayudarle a cumplir con los estándares de conformidad del sector.

  • La solución de cifrado de EBS predeterminada de EC2 permite el cifrado de Amazon EBS predeterminado a nivel de cuenta en cada cuenta y región de AWS de la organización de AWS. Aplica el cifrado de los nuevos volúmenes e instantáneas de EBS que cree. Por ejemplo, Amazon EBS cifra los volúmenes de EBS que se crean al lanzar una instancia y las instantáneas que se copian de una instantánea no cifrada.

  • La solución S3 Block Account Public Access habilita la configuración a nivel de cuenta de Amazon S3 en cada cuenta de AWS de la organización de AWS. La característica Block Public Access de Amazon S3 proporciona la configuración de los puntos de acceso, los buckets y las cuentas, con el fin de ayudarle a administrar el acceso público a los recursos de Amazon S3. De forma predeterminada, los buckets, puntos de acceso y objetos nuevos no permiten el acceso público. Sin embargo, los usuarios pueden modificar las políticas de bucket, las políticas de punto de acceso o los permisos de objeto para permitir el acceso público. La configuración de bloqueo de acceso público de Amazon S3 anula estas políticas y permisos para que pueda limitar el acceso público a estos recursos.

  • La solución Detective Organization automatiza la activación de Amazon Detective al delegar la administración en una cuenta (como la cuenta de auditoría o de herramientas de seguridad) y la configuración de Detective para todas las cuentas de AWS Organization existentes y futuras.

  • La solución Shield Advanced automatiza la implementación de AWS Shield Advanced para proporcionar una protección DDoS mejorada para sus aplicaciones en AWS.

  • La solución AMI Bakery Organization ayuda a automatizar el proceso de creación y gestión de imágenes reforzadas y estándares de Amazon Machine Image (AMI). Esto garantiza la coherencia y la seguridad en todas sus instancias de AWS y simplifica las tareas de implementación y mantenimiento.