Fundamentos de seguridad - AWS Guía prescriptiva
Capacidades de seguridadPrincipios de diseño de seguridadCómo utilizar la SRA de AWS con AWS CAF y AWS Well-Architected Framework

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Fundamentos de seguridad

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta.

La arquitectura de referencia de seguridad de AWS se alinea con tres fundamentos de seguridad de AWS: el marco de adopción de la nube de AWS (AWS CAF), el marco de buena arquitectura de AWS y el modelo de responsabilidad compartida de AWS.

AWS Professional Services creó AWS CAF para ayudar a las empresas a diseñar y seguir un camino acelerado hacia una adopción exitosa de la nube. La orientación y las prácticas recomendadas que ofrece el marco le ayudan a desarrollar un enfoque integral de la computación en nube en toda su empresa y durante todo su ciclo de vida de TI. La CAF de AWS organiza las directrices en seis áreas de interés, denominadas perspectivas. Cada perspectiva abarca distintas responsabilidades que son propiedad o gestionadas por las partes interesadas relacionadas con la funcionalidad. En general, las perspectivas empresarial, de personal y de gobierno se centran en las capacidades empresariales, mientras que las perspectivas de plataforma, seguridad y operaciones se centran en las capacidades técnicas.

  • La perspectiva de seguridad de AWS CAF le ayuda a estructurar la selección e implementación de controles en toda su empresa. Seguir las recomendaciones actuales de AWS en el pilar de seguridad puede ayudarle a cumplir sus requisitos empresariales y normativos. 

AWS Well-Architected Framework ayuda a los arquitectos de la nube a crear una infraestructura segura, de alto rendimiento, resiliente y eficiente para sus aplicaciones y cargas de trabajo. El marco se basa en seis pilares (excelencia operativa, seguridad, fiabilidad, eficiencia del rendimiento, optimización de costes y sostenibilidad) y proporciona un enfoque coherente para que los clientes y socios de AWS evalúen arquitecturas e implementen diseños que puedan ampliarse con el tiempo. Creemos que disponer de cargas de trabajo bien diseñadas aumenta considerablemente las probabilidades de éxito empresarial.

  • El pilar de seguridad de Well-Architected Framework describe cómo aprovechar las tecnologías en la nube para ayudar a proteger los datos, los sistemas y los activos de una manera que pueda mejorar su postura de seguridad. Esto le ayudará a cumplir sus requisitos empresariales y normativos siguiendo las recomendaciones actuales de AWS. Hay áreas de enfoque adicionales de Well-Architected Framework que proporcionan más contexto para dominios específicos, como la gobernanza, la tecnología sin servidores, la inteligencia artificial y el aprendizaje automático y los juegos. Se conocen como lentes AWS Well-Architected

La seguridad y el cumplimiento son una responsabilidad compartida entre AWS y el cliente. Este modelo compartido puede ayudarle a aliviar la carga operativa, ya que AWS opera, administra y controla los componentes desde el sistema operativo anfitrión y la capa de virtualización hasta la seguridad física de las instalaciones en las que opera el servicio. Por ejemplo, usted asume la responsabilidad y la administración del sistema operativo huésped (incluidas las actualizaciones y los parches de seguridad), el software de la aplicación, el cifrado de datos del lado del servidor, las tablas de rutas del tráfico de red y la configuración del firewall del grupo de seguridad proporcionado por AWS. En el caso de los servicios abstractos, como Amazon Simple Storage Service (Amazon S3) y Amazon DynamoDB, AWS opera la capa de infraestructura, el sistema operativo y las plataformas, y usted accede a los puntos de enlace para almacenar y recuperar datos. Usted es responsable de administrar sus datos (incluidas las opciones de cifrado), clasificar sus activos y utilizar las herramientas de AWS Identity and Access Management (IAM) para aplicar los permisos correspondientes. Este modelo compartido suele describirse diciendo que AWS es responsable de la seguridad de la nube (es decir, de proteger la infraestructura que ejecuta todos los servicios que se ofrecen en la nube de AWS) y usted es responsable de la seguridad en la nube (según lo determinen los servicios de nube de AWS que seleccione). 

Dentro de la orientación proporcionada por estos documentos fundamentales, dos conjuntos de conceptos son particularmente relevantes para el diseño y la comprensión de la SRA de AWS: las capacidades de seguridad y los principios de diseño de seguridad.

Capacidades de seguridad

La perspectiva de seguridad de AWS CAF describe nueve capacidades que lo ayudan a lograr la confidencialidad, integridad y disponibilidad de sus datos y cargas de trabajo en la nube.

  • Gobierno de seguridad para desarrollar y comunicar las funciones, responsabilidades, políticas, procesos y procedimientos de seguridad en todo el entorno de AWS de su organización.

  • Garantía de seguridad para supervisar, evaluar, gestionar y mejorar la eficacia de sus programas de seguridad y privacidad.

  • Gestión de identidades y accesos para gestionar las identidades y los permisos a escala.

  • Detección de amenazas para comprender e identificar posibles errores de configuración de seguridad, amenazas o comportamientos inesperados.

  • Gestión de vulnerabilidades para identificar, clasificar, corregir y mitigar de forma continua las vulnerabilidades de seguridad.

  • Protección de la infraestructura para ayudar a validar que los sistemas y servicios de sus cargas de trabajo estén protegidos.

  • Protección de datos para mantener la visibilidad y el control de los datos y de cómo se accede a ellos y se utilizan en su organización.

  • Seguridad de las aplicaciones para ayudar a detectar y abordar las vulnerabilidades de seguridad durante el proceso de desarrollo del software.

  • Respuesta a incidentes para reducir los posibles daños mediante una respuesta eficaz a los incidentes de seguridad.

Principios de diseño de seguridad

El pilar de seguridad del Well-Architected Framework recoge un conjunto de siete principios de diseño que convierten áreas de seguridad específicas en una guía práctica que puede ayudarlo a fortalecer la seguridad de sus cargas de trabajo. Mientras que las capacidades de seguridad enmarcan la estrategia de seguridad general, estos principios del Marco de Well-Architected describen lo que puede empezar a hacer. Se reflejan de forma muy deliberada en esta SRA de AWS y consisten en lo siguiente:

  • Implemente una base de identidad sólida: implemente el principio del privilegio mínimo y exija la separación de funciones con la autorización adecuada para cada interacción con sus recursos de AWS. Centralice la administración de identidades y trate de eliminar la dependencia de credenciales estáticas a largo plazo.

  • Habilite la trazabilidad: supervise, genere alertas y audite las acciones y los cambios en su entorno en tiempo real. Integre la recopilación de registros y métricas con los sistemas para investigar y tomar medidas automáticamente.

  • Aplique la seguridad en todos los niveles: aplique un defense-in-depth enfoque con varios controles de seguridad. Aplique varios tipos de controles (por ejemplo, controles preventivos y de detección) a todas las capas, incluidos el borde de la red, la nube privada virtual (VPC), el equilibrio de carga, los servicios de instancia y procesamiento, el sistema operativo, la configuración de aplicaciones y el código.

  • Automatice las mejores prácticas de seguridad: los mecanismos de seguridad automatizados y basados en software mejoran su capacidad de escalar de forma segura de forma más rápida y rentable. Cree arquitecturas seguras e implemente controles que se definan y administren como código en plantillas con control de versiones.

  • Proteja los datos en tránsito y en reposo: clasifique los datos según sus niveles de confidencialidad y utilice mecanismos como el cifrado, la tokenización y el control de acceso, cuando proceda.

  • Mantenga a las personas alejadas de los datos: utilice mecanismos y herramientas para reducir o eliminar la necesidad de acceder directamente a los datos o procesarlos manualmente. Esto reduce el riesgo de mal manejo o modificación y de errores humanos al manipular datos confidenciales.

  • Prepárese para los eventos de seguridad: prepárese para un incidente con políticas y procesos de gestión e investigación de incidentes que se ajusten a los requisitos de su organización. Realice simulaciones de respuesta a incidentes y utilice herramientas automatizadas para acelerar la detección, la investigación y la recuperación.

Cómo utilizar la SRA de AWS con AWS CAF y AWS Well-Architected Framework

AWS CAF, AWS Well-Architected Framework y AWS SRA son marcos complementarios que funcionan juntos para respaldar sus esfuerzos de migración y modernización a la nube.

  • AWS CAF aprovecha la experiencia y las prácticas recomendadas de AWS para ayudarlo a alinear los valores de la adopción de la nube con los resultados empresariales deseados. Utilice AWS CAF para identificar y priorizar las oportunidades de transformación, evaluar y mejorar la preparación para la nube y desarrollar de forma iterativa su hoja de ruta de transformación.

  • El AWS Well-Architected Framework proporciona recomendaciones de AWS para crear una infraestructura segura, de alto rendimiento, resiliente y eficiente para una variedad de aplicaciones y cargas de trabajo que cumplan con los resultados de su negocio.

  • La SRA de AWS le ayuda a entender cómo implementar y gobernar los servicios de seguridad de forma que se ajuste a las recomendaciones de AWS CAF y el AWS Well-Architected Framework.

Por ejemplo, la perspectiva de seguridad de AWS CAF sugiere que evalúe cómo administrar de forma centralizada las identidades de sus empleados y su autenticación en AWS. En función de esta información, puede decidir utilizar una solución de proveedor de identidad corporativa (IdP) nueva o existente, como Okta, Active Directory o Ping Identity para este fin. Sigue las instrucciones del AWS Well-Architected Framework y decide integrar su IdP con el AWS IAM Identity Center para ofrecer a sus empleados una experiencia de inicio de sesión único que pueda sincronizar las membresías y permisos de sus grupos. Debe revisar la recomendación de la SRA de AWS de habilitar el Centro de identidad de IAM en la cuenta de administración de su organización de AWS y administrarlo a través de una cuenta de herramientas de seguridad utilizada por su equipo de operaciones de seguridad. Este ejemplo ilustra cómo AWS CAF lo ayuda a tomar decisiones iniciales sobre la postura de seguridad deseada, el AWS Well-Architected Framework proporciona orientación sobre cómo evaluar los servicios de AWS que están disponibles para cumplir ese objetivo y, a continuación, la SRA de AWS proporciona recomendaciones sobre cómo implementar y gobernar los servicios de seguridad que seleccione.