Administrador delegado para los servicios de seguridad AWS CloudTrail AWS Security Hub Amazon GuardDuty AWS Config Amazon Security Lake Amazon Macie AWS IAM Access Analyzer AWS Firewall Manager Amazon EventBridge Amazon Detective AWS Audit Manager AWS Artifact AWS KMS Autoridad de certificación privada de AWS Amazon Inspector Implementación de servicios de seguridad comunes en todas las cuentas de AWS

Security OU: cuenta de herramientas de seguridad

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta

El siguiente diagrama ilustra los servicios de seguridad de AWS que están configurados en la cuenta Security Tooling.

Servicios de seguridad para la cuenta Security Tooling

La cuenta Security Tooling está dedicada a operar servicios de seguridad, monitorear las cuentas de AWS y automatizar las alertas y respuestas de seguridad. Los objetivos de seguridad incluyen los siguientes:

Proporcione una cuenta dedicada con acceso controlado para gestionar el acceso a las barandillas de seguridad, la supervisión y la respuesta.
Mantenga la infraestructura de seguridad centralizada adecuada para monitorear los datos de las operaciones de seguridad y mantener la trazabilidad. La detección, la investigación y la respuesta son partes esenciales del ciclo de vida de la seguridad y se pueden utilizar para respaldar un proceso de calidad, una obligación legal o de cumplimiento y para las iniciativas de identificación y respuesta a las amenazas.
Respalde aún más defense-in-depth la estrategia de la organización manteniendo otro nivel de control sobre la configuración y las operaciones de seguridad adecuadas, como las claves de cifrado y la configuración de los grupos de seguridad. Se trata de una cuenta en la que trabajan los operadores de seguridad. Las funciones de solo lectura o auditoría para ver la información de toda la organización de AWS son habituales, mientras que las funciones de escritura/modificación son limitadas en número y se controlan, supervisan y registran rigurosamente.

Consideraciones sobre el diseño

De forma predeterminada, AWS Control Tower asigna el nombre de Cuenta de auditoría a la cuenta en la OU de seguridad. Puede cambiar el nombre de la cuenta durante la configuración de la AWS Control Tower.
Podría ser adecuado tener más de una cuenta de Security Tooling. Por ejemplo, la supervisión y la respuesta a los eventos de seguridad suelen asignarse a un equipo especializado. La seguridad de la red puede requerir su propia cuenta y funciones en colaboración con la infraestructura de la nube o el equipo de red. Estas divisiones mantienen el objetivo de separar los enclaves de seguridad centralizados y hacen aún más hincapié en la separación de funciones, los privilegios mínimos y la posible simplicidad de las tareas en equipo. Si utiliza la Torre de Control de AWS, se restringe la creación de cuentas de AWS adicionales en virtud de la unidad organizativa de seguridad.

Administrador delegado para los servicios de seguridad

La cuenta Security Tooling sirve como cuenta de administrador para los servicios de seguridad que se administran en una estructura de administrador/miembro en todas las cuentas de AWS. Como se mencionó anteriormente, esto se gestiona mediante la funcionalidad de administrador delegado de AWS Organizations. Los servicios de la SRA de AWS que actualmente admiten administradores delegados incluyen AWS Config, AWS Firewall Manager, Amazon, GuardDuty AWS IAM Access Analyzer, Amazon Macie, AWS Security Hub, Amazon Detective, AWS Audit Manager, Amazon Inspector, AWS y CloudTrail AWS Systems Manager. Su equipo de seguridad administra las características de seguridad de estos servicios y monitorea cualquier evento o hallazgo específico de seguridad.

El IAM Identity Center admite la administración delegada en la cuenta de un miembro. AWS SRA usa la cuenta de servicios compartidos como cuenta de administrador delegado para el Centro de identidad de IAM, como se explica más adelante en la sección Centro de identidad de IAM de la cuenta de servicios compartidos.

AWS CloudTrail

AWS CloudTrail es un servicio que respalda la gobernanza, el cumplimiento y la auditoría de la actividad de su cuenta de AWS. Con él CloudTrail, puede registrar, supervisar de forma continua y conservar la actividad de la cuenta relacionada con las acciones en toda su infraestructura de AWS. CloudTrail está integrado con AWS Organizations y esa integración se puede utilizar para crear un registro único que registre todos los eventos de todas las cuentas de la organización de AWS. Esto es lo que se denomina registro de seguimiento de organización. Puede crear y administrar un registro de la organización únicamente desde la cuenta de administración de la organización o desde una cuenta de administrador delegado. Al crear un registro de la organización, se crea un registro con el nombre que especifique en cada cuenta de AWS que pertenezca a su organización de AWS. El registro registra la actividad de todas las cuentas, incluida la cuenta de administración, de la organización de AWS y almacena los registros en un único depósito de S3. Debido a la sensibilidad de este depósito de S3, debe protegerlo siguiendo las prácticas recomendadas que se describen en la sección Amazon S3 como almacén de registros central, más adelante en esta guía. Todas las cuentas de la organización de AWS pueden ver la ruta de la organización en su lista de rutas. Sin embargo, las cuentas de AWS de los miembros tienen acceso de solo lectura a esta ruta. De forma predeterminada, al crear un registro de la organización en la CloudTrail consola, el registro es multirregional. Para obtener más información sobre las prácticas recomendadas de seguridad, consulte la CloudTrail documentación de AWS.

En la SRA de AWS, la cuenta Security Tooling es la cuenta de administrador delegado para la administración. CloudTrail El depósito de S3 correspondiente para almacenar los registros de seguimiento de la organización se crea en la cuenta Log Archive. Esto sirve para separar la administración y el uso de los privilegios de CloudTrail registro. Para obtener información sobre cómo crear o actualizar un bucket de S3 para almacenar los archivos de registro de una organización, consulte la CloudTrail documentación de AWS.

nota

Puede crear y administrar registros de la organización desde cuentas de administración y de administrador delegado. Sin embargo, como práctica recomendada, debes limitar el acceso a la cuenta de administración y utilizar la funcionalidad de administrador delegado cuando esté disponible.

Consideración del diseño

Si la cuenta de un miembro necesita acceder a los archivos de CloudTrail registro de su propia cuenta, puede compartir los archivos de CloudTrail registro de la organización de forma selectiva desde el depósito central de S3. Sin embargo, si las cuentas de los miembros requieren grupos de CloudWatch registros locales para CloudTrail los registros de sus cuentas o desean configurar la administración de registros y los eventos de datos (solo lectura, solo de escritura, eventos de administración, eventos de datos) de forma diferente a la del registro de la organización, pueden crear un registro local con los controles adecuados. Los registros específicos de las cuentas locales conllevan un costo adicional.

AWS Security Hub

AWS Security Hub le proporciona una visión completa de su postura en materia de seguridad en AWS y le ayuda a comprobar si su entorno se ajusta a los estándares y las prácticas recomendadas del sector de la seguridad. Security Hub recopila datos de seguridad de todos los servicios integrados de AWS, productos de terceros compatibles y otros productos de seguridad personalizados que pueda utilizar. Le ayuda a supervisar y analizar continuamente sus tendencias de seguridad e identificar los problemas de seguridad de mayor prioridad. Además de las fuentes ingeridas, Security Hub genera sus propios hallazgos, que están representados por controles de seguridad que se ajustan a uno o más estándares de seguridad. Estos estándares incluyen AWS Foundational Security Best Practices (FSBP), Center for Internet Security (CIS), AWS Foundations Benchmark v1.20 y v1.4.0, SP 800-53 Rev. 5 del National Institute of Standards and Technology (NIST), Payment Card Industry Data Security Standard (PCI DSS) y estándares de administración de servicios. Para obtener una lista de los estándares de seguridad actuales y detalles sobre controles de seguridad específicos, consulte la referencia de los estándares del Security Hub en la documentación del Security Hub.

Security Hub se integra con AWS Organizations para simplificar la administración del estado de seguridad en todas las cuentas actuales y futuras de su organización de AWS. Puede usar la función de configuración central de Security Hub desde la cuenta de administrador delegado (en este caso, Security Tooling) para especificar cómo se configuran el servicio, los estándares de seguridad y los controles de seguridad de su organización en las cuentas y unidades organizativas (OU) de su organización en todas las regiones. Puede configurar estos ajustes en unos pocos pasos desde una región principal, que se denomina región de origen. Si no usa la configuración centralizada, debe configurar Security Hub por separado en cada cuenta y región. El administrador delegado puede designar las cuentas y las unidades organizativas como autogestionables, de forma que el miembro puede configurar los ajustes por separado en cada región, o bien administrarlas de forma centralizada, de forma que el administrador delegado puede configurar la cuenta del miembro o la unidad organizativa en todas las regiones. Puede designar todas las cuentas y unidades organizativas de su organización como administradas de forma centralizada, todas autoadministradas o como una combinación de ambas. Esto simplifica la aplicación de una configuración coherente y, al mismo tiempo, ofrece la flexibilidad de modificarla para cada unidad organizativa y cuenta.

La cuenta de administrador delegado de Security Hub también puede ver los hallazgos, ver información y controlar los detalles de todas las cuentas de los miembros. Además, puede designar una región de agregación dentro de la cuenta de administrador delegado para centralizar los resultados en sus cuentas y en las regiones vinculadas. Sus resultados se sincronizan de forma continua y bidireccional entre la región agregadora y todas las demás regiones.

Security Hub admite integraciones con varios servicios de AWS. Amazon GuardDuty, AWS Config, Amazon Macie, AWS IAM Access Analyzer, AWS Firewall Manager, Amazon Inspector y AWS Systems Manager Patch Manager pueden enviar los resultados a Security Hub. Security Hub procesa las conclusiones mediante un formato estándar denominado AWS Security Finding Format (ASFF). Security Hub correlaciona los resultados de los productos integrados para dar prioridad a los más importantes. Puede enriquecer los metadatos de los hallazgos de Security Hub para ayudar a contextualizar mejor los hallazgos de seguridad, priorizarlos y tomar medidas al respecto. Esta mejora añade etiquetas de recursos, una nueva etiqueta de aplicación de AWS e información sobre el nombre de la cuenta a cada hallazgo que se incorpore a Security Hub. Esto le ayuda a ajustar los resultados para las reglas de automatización, buscar o filtrar los hallazgos e información y evaluar el estado de la postura de seguridad por aplicación. Además, puede utilizar las reglas de automatización para actualizar automáticamente los hallazgos. A medida que Security Hub ingiere los hallazgos, puede aplicar una variedad de acciones de reglas, como suprimir los hallazgos, cambiar su gravedad y añadir notas a los hallazgos. Estas reglas entran en vigor cuando los resultados coinciden con los criterios especificados, como los identificadores de recursos o cuentas a los que está asociado el hallazgo o su título. Puede utilizar las reglas de automatización para actualizar los campos de búsqueda seleccionados en el ASFF. Las reglas se aplican tanto a los hallazgos nuevos como a los actualizados.

Durante la investigación de un incidente de seguridad, puedes ir de Security Hub a Amazon Detective para investigar un GuardDuty hallazgo de Amazon. Security Hub recomienda alinear las cuentas de administrador delegado para servicios como Detective (donde existan) para una integración más fluida. Por ejemplo, si no alineas las cuentas de administrador entre Detective y Security Hub, no funcionará navegar de Findings a Detective. Para obtener una lista completa, consulte Información general sobre las integraciones de los servicios de AWS con Security Hub en la documentación del Security Hub.

Puede utilizar Security Hub con la función Network Access Analyzer de Amazon VPC para supervisar de forma continua el cumplimiento de la configuración de red de AWS. Esto le ayudará a bloquear el acceso no deseado a la red y a evitar el acceso externo a sus recursos críticos. Para obtener más detalles sobre la arquitectura y la implementación, consulte la entrada del blog de AWS Verificación continua de la conformidad de la red mediante Amazon VPC Network Access Analyzer y AWS Security Hub.

Además de sus funciones de monitoreo, Security Hub admite la integración con Amazon EventBridge para automatizar la corrección de hallazgos específicos. Puede definir las acciones personalizadas que se llevarán a cabo cuando se reciba un hallazgo. Por ejemplo, puede configurar acciones personalizadas para enviar resultados a un sistema de tickets o a un sistema de corrección automático. Para obtener más información y ejemplos, consulte las publicaciones del blog de AWS Automated Response and Remediation with AWS Security Hub y How to deploy the AWS Solution for Security Hub Automated Response and Remediation.

Security Hub utiliza reglas de AWS Config vinculadas a servicios para realizar la mayoría de las comprobaciones de seguridad de los controles. Para admitir estos controles, AWS Config debe estar habilitado en todas las cuentas, incluidas la cuenta de administrador (o administrador delegado) y las cuentas de los miembros, de cada región de AWS en la que esté activado Security Hub.

Consideraciones sobre el diseño

Si un estándar de cumplimiento, como PCI-DSS, ya está presente en Security Hub, el servicio Security Hub totalmente gestionado es la forma más sencilla de ponerlo en funcionamiento. Sin embargo, si desea crear su propio estándar de conformidad o seguridad, que puede incluir comprobaciones de seguridad, operativas o de optimización de costes, los paquetes de conformidad de AWS Config ofrecen un proceso de personalización simplificado. (Para obtener más información sobre AWS Config y los paquetes de conformidad, consulte la sección AWS Config).
Los casos de uso más comunes de Security Hub incluyen los siguientes:
- Como panel que proporciona visibilidad a los propietarios de las aplicaciones sobre la postura de seguridad y conformidad de sus recursos de AWS
- Como punto de vista central de las conclusiones de seguridad utilizadas por las operaciones de seguridad, el personal de respuesta a incidentes y los cazadores de amenazas para clasificar las conclusiones de seguridad y conformidad de AWS y tomar medidas al respecto en todas las cuentas y regiones de AWS
- Para agregar y enrutar los hallazgos de seguridad y conformidad de todas las cuentas y regiones de AWS a un sistema centralizado de administración de eventos e información de seguridad (SIEM) u otro sistema de organización de seguridad
Para obtener más información sobre estos casos de uso, incluido cómo configurarlos, consulte la entrada del blog Tres patrones de uso recurrentes de Security Hub y cómo implementarlos.

Ejemplo de implementación

La biblioteca de códigos SRA de AWS proporciona un ejemplo de implementación de Security Hub. Incluye la activación automática del servicio, la administración delegada a una cuenta de miembro (Security Tooling) y la configuración para habilitar Security Hub para todas las cuentas existentes y futuras de la organización de AWS.

Amazon GuardDuty

Amazon GuardDuty es un servicio de detección de amenazas que monitorea continuamente la actividad maliciosa y el comportamiento no autorizado para proteger sus cuentas y cargas de trabajo de AWS. Siempre debe capturar y almacenar los registros adecuados para fines de supervisión y auditoría, pero Amazon GuardDuty extrae flujos de datos independientes directamente de AWS CloudTrail, los registros de flujo de VPC de Amazon y los registros de DNS de AWS. No tiene que gestionar las políticas de bucket de Amazon S3 ni modificar la forma en que recopila y almacena los registros. GuardDutylos permisos se administran como funciones vinculadas al servicio que puede revocar en cualquier momento desactivándolas. GuardDuty Esto facilita la activación del servicio sin una configuración compleja y elimina el riesgo de que una modificación de los permisos de IAM o un cambio en la política del bucket de S3 afecten al funcionamiento del servicio.

Además de proporcionar fuentes de datos fundamentales, GuardDuty ofrece funciones opcionales para identificar los hallazgos de seguridad. Estas incluyen EKS Protection, RDS Protection, S3 Protection, Malware Protection y Lambda Protection. En el caso de los detectores nuevos, estas funciones opcionales están habilitadas de forma predeterminada, excepto la protección EKS, que debe activarse manualmente.

Con GuardDuty S3 Protection, GuardDuty supervisa los eventos de datos de Amazon S3 CloudTrail además de los eventos CloudTrail de administración predeterminados. La supervisión de los eventos de datos GuardDuty permite supervisar las operaciones de la API a nivel de objeto para detectar posibles riesgos de seguridad para los datos contenidos en sus depósitos de S3.
GuardDuty Malware Protection detecta la presencia de malware en las instancias de Amazon EC2 o en las cargas de trabajo de contenedores al iniciar escaneos sin agente en los volúmenes adjuntos de Amazon Elastic Block Store (Amazon EBS).
GuardDuty La protección RDS está diseñada para perfilar y monitorear la actividad de acceso a las bases de datos de Amazon Aurora sin afectar al rendimiento de las bases de datos.
GuardDuty EKS Protection incluye EKS Audit Log Monitoring y EKS Runtime Monitoring. Con EKS Audit Log Monitoring, GuardDuty supervisa los registros de auditoría de Kubernetes de los clústeres de Amazon EKS y los analiza para detectar posibles actividades maliciosas y sospechosas. EKS Runtime Monitoring utiliza el agente de GuardDuty seguridad (que es un complemento de Amazon EKS) para proporcionar visibilidad en tiempo de ejecución de las cargas de trabajo individuales de Amazon EKS. El agente GuardDuty de seguridad ayuda a identificar contenedores específicos dentro de sus clústeres de Amazon EKS que puedan estar en peligro. También puede detectar los intentos de escalar los privilegios de un contenedor individual al host Amazon EC2 subyacente o al entorno más amplio de AWS.

GuardDuty está habilitado en todas las cuentas a través de AWS Organizations, y los equipos de seguridad correspondientes pueden ver y procesar todos los hallazgos en la cuenta de administrador GuardDuty delegado (en este caso, la cuenta Security Tooling).

Cuando AWS Security Hub está activado, GuardDuty los resultados se transfieren automáticamente a Security Hub. Cuando Amazon Detective está activado, GuardDuty los hallazgos se incluyen en el proceso de ingesta de registros de Detective. GuardDuty y Detective admiten flujos de trabajo de usuarios multiservicio, donde GuardDuty proporciona enlaces desde la consola que lo redirigen desde un hallazgo seleccionado a una página de Detectives que contiene un conjunto de visualizaciones seleccionadas para investigar ese hallazgo. Por ejemplo, también puedes integrarte GuardDuty con Amazon EventBridge para automatizar las mejores prácticas GuardDuty, como la automatización de las respuestas a los nuevos GuardDuty hallazgos.

Ejemplo de implementación

La biblioteca de códigos SRA de AWS proporciona un ejemplo de implementación de Amazon GuardDuty. Incluye la configuración de buckets S3 cifrados, la administración delegada y la GuardDuty activación de todas las cuentas existentes y futuras de la organización de AWS.

AWS Config

AWS Config es un servicio que le permite evaluar, auditar y evaluar las configuraciones de los recursos de AWS compatibles en sus cuentas de AWS. AWS Config monitorea y registra continuamente las configuraciones de los recursos de AWS y evalúa automáticamente las configuraciones registradas comparándolas con las configuraciones deseadas. También puede integrar AWS Config con otros servicios para realizar el trabajo pesado de los procesos automatizados de auditoría y supervisión. Por ejemplo, AWS Config puede supervisar los cambios en los secretos individuales en AWS Secrets Manager.

Puede evaluar los ajustes de configuración de sus recursos de AWS mediante las reglas de AWS Config. AWS Config proporciona una biblioteca de reglas predefinidas y personalizables denominadas reglas administradas. También puede escribir sus propias reglas personalizadas. Puede ejecutar las reglas de AWS Config en modo proactivo (antes de que se hayan desplegado los recursos) o en modo detective (después de que se hayan implementado los recursos). Los recursos se pueden evaluar cuando hay cambios de configuración, de forma periódica o en ambos casos.

Un paquete de conformidad es un conjunto de reglas y acciones correctivas de AWS Config que se pueden implementar como una sola entidad en una cuenta y región, o en una organización de AWS Organizations. Los paquetes de conformidad se crean mediante la creación de una plantilla YAML que contiene la lista de reglas y acciones de corrección administradas o personalizadas de AWS Config. Para empezar a evaluar su entorno de AWS, utilice uno de los ejemplos de plantillas de paquetes de conformidad.

AWS Config se integra con AWS Security Hub para enviar los resultados de las evaluaciones de reglas administradas y personalizadas de AWS Config como hallazgos al Security Hub.

Las reglas de AWS Config se pueden utilizar junto con AWS Systems Manager para corregir de forma eficaz los recursos no conformes. Utiliza AWS Systems Manager Explorer para recopilar el estado de conformidad de las reglas de AWS Config en sus cuentas de AWS en todas las regiones de AWS y, a continuación, utiliza los documentos de automatización de Systems Manager (runbooks) para resolver las reglas de AWS Config que no cumplen con las normas. Para obtener más información sobre la implementación, consulte la entrada del blog Remedie las reglas de AWS Config no conformes con los manuales de ejecución de AWS Systems Manager Automation.

El agregador de AWS Config recopila datos de configuración y conformidad de varias cuentas, regiones y organizaciones de AWS Organizations. El panel del agregador muestra los datos de configuración de los recursos agregados. Los paneles de inventario y conformidad ofrecen información esencial y actualizada sobre las configuraciones de sus recursos de AWS y el estado de conformidad en todas las cuentas de AWS, en todas las regiones de AWS o dentro de una organización de AWS. Le permiten visualizar y evaluar su inventario de recursos de AWS sin necesidad de escribir consultas avanzadas de AWS Config. Puede obtener información esencial, como un resumen de la conformidad por recursos, las 10 cuentas principales que tienen recursos no conformes, una comparación de las instancias de EC2 en ejecución y detenidas por tipo y de los volúmenes de EBS por tipo y tamaño de volumen.

Si utiliza AWS Control Tower para administrar su organización de AWS, esta implementará un conjunto de reglas de AWS Config como barreras de detección (clasificadas como obligatorias, altamente recomendadas u optativas). Estas barreras le ayudan a controlar sus recursos y a supervisar el cumplimiento en todas las cuentas de su organización de AWS. Estas reglas de AWS Config utilizarán automáticamente una aws-control-tower etiqueta con un valor demanaged-by-control-tower.

AWS Config debe estar habilitado para cada cuenta de miembro de la organización y región de AWS que contenga los recursos que desee proteger. Puede gestionar de forma centralizada (por ejemplo, crear, actualizar y eliminar) las reglas de AWS Config en todas las cuentas de su organización de AWS. Desde la cuenta de administrador delegado de AWS Config, puede implementar un conjunto común de reglas de AWS Config en todas las cuentas y especificar las cuentas en las que no se deben crear reglas de AWS Config. La cuenta de administrador delegado de AWS Config también puede agregar datos de conformidad y configuración de recursos de todas las cuentas de los miembros para ofrecer una vista única. Utilice las API de la cuenta de administrador delegado para reforzar la gobernanza asegurándose de que las cuentas de los miembros de su organización de AWS no puedan modificar las reglas subyacentes de AWS Config.

Consideraciones sobre el diseño

AWS Config transmite las notificaciones de cambios de configuración y conformidad a Amazon EventBridge. Esto significa que puede usar las capacidades de filtrado nativas EventBridge para filtrar los eventos de AWS Config de modo que pueda enrutar tipos específicos de notificaciones a destinos específicos. Por ejemplo, puede enviar notificaciones de conformidad para reglas o tipos de recursos específicos a direcciones de correo electrónico específicas, o enviar las notificaciones de cambios de configuración a una herramienta externa de administración de servicios de TI (ITSM) o base de datos de administración de configuración (CMDB). Para obtener más información, consulte la entrada del blog Prácticas recomendadas de AWS Config.
Además de utilizar la evaluación proactiva de reglas de AWS Config, puede utilizar AWS CloudFormation Guard, una herramienta de policy-as-code evaluación que comprueba de forma proactiva el cumplimiento de la configuración de los recursos. La interfaz de línea de comandos (CLI) de AWS CloudFormation Guard le proporciona un lenguaje declarativo específico del dominio (DSL) que puede utilizar para expresar la política en forma de código. Además, puede usar los comandos de la CLI de AWS para validar datos estructurados con formato JSON o con formato YAML, como conjuntos de CloudFormation cambios, archivos de configuración de Terraform basados en JSON o configuraciones de Kubernetes. Puede ejecutar las evaluaciones de forma local mediante la CLI de AWS CloudFormation Guard como parte de su proceso de creación o ejecutarla dentro de su proceso de implementación. Si tiene aplicaciones del AWS Cloud Development Kit (AWS CDK), puede usar cdk-nag para comprobar proactivamente las prácticas recomendadas.

Ejemplo de implementación

La biblioteca de códigos SRA de AWS proporciona un ejemplo de implementación que implementa paquetes de conformidad de AWS Config en todas las cuentas y regiones de AWS de una organización de AWS. El módulo AWS Config Aggregator le ayuda a configurar un agregador de AWS Config al delegar la administración en una cuenta de miembro (Security Tooling) dentro de la cuenta de administración de la organización y, a continuación, configurar AWS Config Aggregator dentro de la cuenta de administrador delegado para todas las cuentas existentes y futuras de la organización de AWS. Puede usar el módulo de cuentas de administración de la Torre de Control de AWS Config para habilitar AWS Config en la cuenta de administración de la organización; no lo habilita la Torre de Control de AWS.

Amazon Security Lake

Amazon Security Lake es un servicio de lago de datos de seguridad totalmente gestionado. Puede usar Security Lake para centralizar automáticamente los datos de seguridad de los entornos de AWS, los proveedores de software como servicio (SaaS), las instalaciones y las fuentes de terceros. Security Lake le ayuda a crear una fuente de datos normalizada que simplifica el uso de las herramientas de análisis de los datos de seguridad, de modo que pueda comprender mejor su postura de seguridad en toda la organización. El lago de datos está respaldado por buckets de Amazon Simple Storage Service (Amazon S3) y usted retiene la propiedad de sus datos. Security Lake recopila automáticamente los registros de los servicios de AWS, incluidos los registros de auditoría de AWS CloudTrail, Amazon VPC, Amazon Route 53, Amazon S3, AWS Lambda y Amazon EKS.

AWS SRA recomienda utilizar la cuenta Log Archive como cuenta de administrador delegado de Security Lake. Para obtener más información sobre la configuración de la cuenta de administrador delegado, consulte Amazon Security Lake en la sección de cuentas Security OU — Log Archive. Los equipos de seguridad que deseen acceder a los datos de Security Lake o que necesiten la capacidad de escribir registros no nativos en los buckets de Security Lake mediante funciones personalizadas de extracción, transformación y carga (ETL) deben operar dentro de la cuenta de Security Tooling.

Security Lake puede recopilar registros de diferentes proveedores de nube, registros de soluciones de terceros u otros registros personalizados. Le recomendamos que utilice la cuenta Security Tooling para realizar las funciones de ETL a fin de convertir los registros al formato Open Cybersecurity Schema Framework (OCSF) y generar un archivo en formato Apache Parquet. Security Lake crea el rol multicuenta con los permisos adecuados para la cuenta de Security Tooling y la fuente personalizada respaldada por las funciones de AWS Lambda o los rastreadores de AWS Glue, para escribir datos en los depósitos de S3 de Security Lake.

El administrador de Security Lake debe configurar los equipos de seguridad que usen la cuenta Security Tooling y necesiten acceder a los registros que Security Lake recopila como suscriptores. Security Lake admite dos tipos de acceso de suscriptores:

Acceso a los datos: los suscriptores pueden acceder directamente a los objetos de Amazon S3 para Security Lake. Security Lake administra la infraestructura y los permisos. Al configurar la cuenta de Security Tooling como suscriptora de acceso a datos de Security Lake, la cuenta recibe una notificación de los nuevos objetos en los buckets de Security Lake a través de Amazon Simple Queue Service (Amazon SQS), y Security Lake crea los permisos para acceder a esos nuevos objetos.
Acceso a consultas: los suscriptores pueden consultar los datos de origen de las tablas de AWS Lake Formation de su bucket de S3 mediante servicios como Amazon Athena. El acceso entre cuentas se configura automáticamente para el acceso a las consultas mediante AWS Lake Formation. Al configurar la cuenta de Security Tooling como suscriptora de acceso a consultas de Security Lake, la cuenta tiene acceso de solo lectura a los registros de la cuenta de Security Lake. Cuando utiliza este tipo de suscriptor, las tablas Athena y AWS Glue se comparten desde la cuenta de Security Lake Log Archive con la cuenta de Security Tooling a través de AWS Resource Access Manager (AWS RAM). Para habilitar esta capacidad, debe actualizar la configuración de uso compartido de datos entre cuentas a la versión 3.

Para obtener más información sobre la creación de suscriptores, consulte Gestión de suscriptores en la documentación de Security Lake.

Para conocer las prácticas recomendadas para la ingesta de fuentes personalizadas, consulte Recopilación de datos de fuentes personalizadas en la documentación de Security Lake.

Puede usar Amazon QuickSight OpenSearch, Amazon y Amazon SageMaker para configurar los análisis de los datos de seguridad que almacena en Security Lake.

Consideración del diseño

Si un equipo de aplicaciones necesita acceder mediante consultas a los datos de Security Lake para cumplir con un requisito empresarial, el administrador de Security Lake debe configurar esa cuenta de aplicación como suscriptor.

Amazon Macie

Amazon Macie es un servicio de seguridad y privacidad de datos totalmente gestionado que utiliza el aprendizaje automático y la coincidencia de patrones para detectar y proteger sus datos confidenciales en AWS. Debe identificar el tipo y la clasificación de los datos que procesa su carga de trabajo para garantizar que se apliquen los controles adecuados. Puede utilizar Macie para automatizar el descubrimiento y la presentación de informes sobre datos confidenciales de dos maneras: mediante la detección automática de datos confidenciales y mediante la creación y ejecución de tareas de descubrimiento de datos confidenciales. Gracias a la detección automática de datos confidenciales, Macie evalúa su inventario de depósitos de S3 a diario y utiliza técnicas de muestreo para identificar y seleccionar objetos representativos de S3 de sus depósitos. A continuación, Macie recupera y analiza los objetos seleccionados, inspeccionándolos en busca de datos confidenciales. Los trabajos de descubrimiento de datos confidenciales proporcionan un análisis más profundo y específico. Con esta opción, puede definir la amplitud y la profundidad del análisis, incluidos los segmentos de S3 que se van a analizar, la profundidad de muestreo y los criterios personalizados que se derivan de las propiedades de los objetos de S3. Si Macie detecta un posible problema con la seguridad o la privacidad de un bucket, crea un resultado de política para usted. La detección automática de datos está habilitada de forma predeterminada para todos los nuevos clientes de Macie, y los clientes actuales de Macie pueden activarla con un solo clic.

Macie está habilitado en todas las cuentas a través de AWS Organizations. Los directores que dispongan de los permisos adecuados en la cuenta de administrador delegado (en este caso, la cuenta Security Tooling) pueden activar o suspender a Macie en cualquier cuenta, crear tareas de descubrimiento de datos confidenciales para los grupos que son propiedad de las cuentas de los miembros y consultar todos los resultados de las políticas de todas las cuentas de los miembros. Los hallazgos de datos confidenciales solo los puede ver la cuenta que creó el trabajo de hallazgos confidenciales. Para obtener más información, consulte Administración de varias cuentas en Amazon Macie en la documentación de Macie.

Las conclusiones de Macie se envían a AWS Security Hub para su revisión y análisis. Macie también se integra con Amazon EventBridge para facilitar las respuestas automatizadas a hallazgos como las alertas, las transmisiones a los sistemas de información de seguridad y gestión de eventos (SIEM) y la remediación automática.

Consideraciones sobre el diseño

Si los objetos de S3 se cifran con una clave de AWS Key Management Service (AWS KMS) que usted administra, puede añadir el rol vinculado al servicio de Macie como usuario clave a esa clave de KMS para que Macie pueda escanear los datos.
Macie está optimizado para escanear objetos en Amazon S3. Como resultado, cualquier tipo de objeto compatible con MACIE que se pueda colocar en Amazon S3 (de forma permanente o temporal) se puede escanear en busca de datos confidenciales. Esto significa que los datos de otras fuentes (por ejemplo, exportaciones periódicas de instantáneas de bases de datos Amazon Relational Database Service (Amazon RDS) o Amazon Aurora, tablas exportadas de Amazon DynamoDB o archivos de texto extraídos de aplicaciones nativas o de terceros, se pueden mover a Amazon S3 y Macie puede evaluarlos.

Ejemplo de implementación

La biblioteca de códigos SRA de AWS proporciona un ejemplo de implementación de Amazon Macie. Incluye delegar la administración en una cuenta de miembro y configurar Macie dentro de la cuenta de administrador delegado para todas las cuentas existentes y futuras de la organización de AWS. Macie también está configurado para enviar los resultados a un depósito S3 central que está cifrado con una clave administrada por el cliente en AWS KMS.

AWS IAM Access Analyzer

A medida que acelera su proceso de adopción de la nube de AWS y continúa innovando, es fundamental mantener un control estricto del acceso detallado (permisos), contener la proliferación de accesos y garantizar que los permisos se utilicen de forma eficaz. El acceso excesivo y no utilizado presenta desafíos de seguridad y dificulta que las empresas apliquen el principio del mínimo privilegio. Este principio es un pilar importante de la arquitectura de seguridad que implica ajustar continuamente el tamaño de los permisos de IAM para equilibrar los requisitos de seguridad con los requisitos operativos y de desarrollo de aplicaciones. Este esfuerzo involucra a múltiples partes interesadas, incluidos los equipos de seguridad central y del Cloud Center of Excellence (CCoE), así como los equipos de desarrollo descentralizados.

AWS IAM Access Analyzer proporciona herramientas para establecer permisos detallados de manera eficiente, verificar los permisos previstos y refinar los permisos al eliminar el acceso no utilizado para ayudarlo a cumplir con los estándares de seguridad de su empresa. Le brinda visibilidad de los hallazgos de acceso externos y no utilizados a través de paneles y AWS Security Hub. Además, es compatible con Amazon EventBridge para los flujos de trabajo de notificación y corrección personalizados basados en eventos.

La función de hallazgos externos de IAM Access Analyzer le ayuda a identificar los recursos de su organización y cuentas de AWS, como los buckets de Amazon S3 o las funciones de IAM, que se comparten con una entidad externa. La organización o cuenta de AWS que elija se conoce como zona de confianza. El analizador utiliza un razonamiento automatizado para analizar todos los recursos admitidos dentro de la zona de confianza y genera conclusiones para los directores que pueden acceder a los recursos desde fuera de la zona de confianza. Estos resultados ayudan a identificar los recursos que se comparten con una entidad externa y le ayudan a obtener una vista previa de cómo afecta su política al acceso público y multicuenta a su recurso antes de implementar los permisos de los recursos.

Los resultados de IAM Access Analyzer también le ayudan a identificar el acceso no utilizado que se concede a sus organizaciones y cuentas de AWS, lo que incluye:

Funciones de IAM no utilizadas: funciones que no tienen actividad de acceso dentro del período de uso especificado.
Usuarios, credenciales y claves de acceso de IAM no utilizados: credenciales que pertenecen a los usuarios de IAM y que se utilizan para acceder a los servicios y recursos de AWS.
Políticas y permisos de IAM no utilizados: permisos de nivel de servicio y de acción que un rol no utilizó dentro de un período de uso específico. IAM Access Analyzer utiliza políticas basadas en la identidad que se adjuntan a las funciones para determinar los servicios y las acciones a los que pueden acceder esas funciones. El analizador proporciona una revisión de los permisos no utilizados para todos los permisos de nivel de servicio.

Puede utilizar las conclusiones generadas por IAM Access Analyzer para obtener visibilidad y corregir cualquier acceso no deseado o no utilizado en función de las políticas y los estándares de seguridad de su organización. Tras la corrección, estos resultados se marcarán como resueltos la próxima vez que se ejecute el analizador. Si el hallazgo es intencional, puede marcarlo como archivado en IAM Access Analyzer y priorizar otros hallazgos que supongan un mayor riesgo de seguridad. Además, puede configurar reglas de archivado para archivar automáticamente los hallazgos específicos. Por ejemplo, puede crear una regla de archivado para archivar automáticamente los resultados de un bucket de Amazon S3 específico al que conceda acceso de forma periódica.

Como creador, puede utilizar IAM Access Analyzer para realizar comprobaciones automatizadas de las políticas de IAM en una fase temprana del proceso de desarrollo e implementación (CI/CD), a fin de cumplir con los estándares de seguridad corporativos. Puede integrar las comprobaciones y revisiones de políticas personalizadas de IAM Access Analyzer con AWS CloudFormation para automatizar las revisiones de políticas como parte de los procesos de CI/CD de su equipo de desarrollo. Esto incluye:

Validación de políticas de IAM: IAM Access Analyzer valida sus políticas según la gramática de las políticas de IAM y las mejores prácticas de AWS. Puede ver los resultados de las comprobaciones de validación de políticas, incluidas las advertencias de seguridad, los errores, las advertencias generales y las sugerencias para su política. Actualmente hay más de 100 comprobaciones de validación de políticas disponibles y se pueden automatizar mediante la interfaz de línea de comandos (AWS CLI) y las API.
Comprobaciones de políticas personalizadas de IAM: las comprobaciones de políticas personalizadas de IAM Access Analyzer validan sus políticas según los estándares de seguridad especificados. Las comprobaciones de políticas personalizadas utilizan un razonamiento automatizado para ofrecer un mayor nivel de seguridad en cuanto al cumplimiento de los estándares de seguridad corporativos. Los tipos de comprobaciones de políticas personalizadas incluyen:
- Compare con una política de referencia: al editar una política, puede compararla con una política de referencia, como una versión existente de la política, para comprobar si la actualización concede un nuevo acceso. La CheckNoNewAccessAPI compara dos políticas (una política actualizada y una política de referencia) para determinar si la política actualizada introduce un nuevo acceso con respecto a la política de referencia y devuelve una respuesta de aprobación o rechazo.
- Compruébalo con una lista de acciones de IAM: puedes usar la CheckAccessNotGrantedAPI para asegurarte de que una política no dé acceso a una lista de acciones críticas definidas en tu estándar de seguridad. Esta API toma una política y una lista de hasta 100 acciones de IAM para comprobar si la política permite al menos una de las acciones, y devuelve una respuesta de aprobación o rechazo.

Los equipos de seguridad y otros autores de políticas de IAM pueden utilizar IAM Access Analyzer para crear políticas que cumplan con los estándares gramaticales y de seguridad de las políticas de IAM. La creación manual de políticas del tamaño correcto puede ser propensa a errores y llevar mucho tiempo. La función de generación de políticas de IAM Access Analyzer ayuda a crear políticas de IAM que se basan en la actividad de acceso del director. IAM Access Analyzer revisa CloudTrail los registros de AWS para ver si hay servicios compatibles y genera una plantilla de políticas que contiene los permisos que utilizó el director en el intervalo de fechas especificado. A continuación, puede utilizar esta plantilla para crear una política con permisos detallados que conceda únicamente los permisos necesarios.

Debe tener una CloudTrail ruta habilitada en su cuenta para poder generar una política basada en la actividad de acceso.
IAM Access Analyzer no identifica la actividad a nivel de acción de los eventos de datos, como los eventos de datos de Amazon S3, en las políticas generadas.
Las iam:PassRole políticas generadas no rastrean la CloudTrail acción ni la incluyen.

Access Analyzer se implementa en la cuenta de Security Tooling a través de la funcionalidad de administrador delegado de AWS Organizations. El administrador delegado tiene permisos para crear y administrar analizadores con la organización de AWS como zona de confianza.

Consideración del diseño

Para obtener resultados relacionados con la cuenta (donde la cuenta sirve como límite de confianza), debe crear un analizador con el ámbito de la cuenta en cada cuenta de un miembro. Esto se puede hacer como parte de la canalización de cuentas. Los hallazgos relacionados con la cuenta llegan a Security Hub a nivel de cuenta de los miembros. Desde allí, fluyen a la cuenta de administrador delegado de Security Hub (Security Tooling).

Ejemplos de implementación

La biblioteca de códigos SRA de AWS proporciona un ejemplo de implementación de IAM Access Analyzer. Muestra cómo configurar un analizador a nivel de organización dentro de una cuenta de administrador delegado y un analizador a nivel de cuenta dentro de cada cuenta.
Para obtener información sobre cómo puede integrar las comprobaciones de políticas personalizadas en los flujos de trabajo de los creadores, consulte la entrada del blog de AWS sobre las comprobaciones de políticas personalizadas de IAM Access Analyzer.

AWS Firewall Manager

AWS Firewall Manager ayuda a proteger su red al simplificar las tareas de administración y mantenimiento de AWS WAF, AWS Shield Advanced, los grupos de seguridad de Amazon VPC, AWS Network Firewall y Route 53 Resolver DNS Firewall en varias cuentas y recursos. Con Firewall Manager, solo puede configurar las reglas de firewall de AWS WAF, las protecciones de Shield Advanced, los grupos de seguridad de Amazon VPC, los firewalls de AWS Network Firewall y las asociaciones de grupos de reglas de DNS Firewall una sola vez. El servicio aplica automáticamente las reglas y las protecciones en todas las cuentas y recursos, incluso cuando se agregan recursos nuevos.

Firewall Manager resulta especialmente útil cuando desea proteger toda su organización de AWS en lugar de un número reducido de cuentas y recursos específicos, o si añade con frecuencia nuevos recursos que desea proteger. Firewall Manager utiliza políticas de seguridad para permitirle definir un conjunto de configuraciones, incluidas las reglas, protecciones y acciones relevantes que se deben implementar y las cuentas y los recursos (indicados mediante etiquetas) que se deben incluir o excluir. Puede crear configuraciones granulares y flexibles y, al mismo tiempo, ampliar el control a un gran número de cuentas y VPC. Estas políticas hacen cumplir de forma automática y coherente las reglas que usted configura, incluso cuando se crean nuevas cuentas y recursos. El Firewall Manager está habilitado en todas las cuentas a través de AWS Organizations, y la configuración y la administración las realizan los equipos de seguridad correspondientes en la cuenta de administrador delegado de Firewall Manager (en este caso, la cuenta Security Tooling).

Debe habilitar AWS Config para cada región de AWS que contenga los recursos que desee proteger. Si no quiere habilitar AWS Config para todos los recursos, debe habilitarlo para los recursos que estén asociados al tipo de políticas de Firewall Manager que utilice. Cuando utiliza AWS Security Hub y Firewall Manager, Firewall Manager envía automáticamente los resultados a Security Hub. Firewall Manager detecta los recursos que no cumplen con las normas y los ataques que detecta, y los envía a Security Hub. Al configurar una política de Firewall Manager para AWS WAF, puede habilitar de forma centralizada el registro en las listas de control de acceso web (ACL web) para todas las cuentas incluidas en el ámbito y centralizar los registros en una sola cuenta.

Consideración del diseño

Los administradores de cuentas de los miembros individuales de la organización de AWS pueden configurar controles adicionales (como las reglas de AWS WAF y los grupos de seguridad de Amazon VPC) en los servicios gestionados por Firewall Manager según sus necesidades particulares.

Ejemplo de implementación

La biblioteca de códigos SRA de AWS proporciona un ejemplo de implementación de AWS Firewall Manager. Muestra la administración delegada (herramientas de seguridad), implementa un grupo de seguridad máximo permitido, configura una política de grupo de seguridad y configura varias políticas de WAF.

Amazon EventBridge

Amazon EventBridge es un servicio de bus de eventos sin servidor que facilita la conexión de sus aplicaciones con datos de diversas fuentes. Se utiliza con frecuencia en la automatización de la seguridad. Puede configurar reglas de enrutamiento para determinar dónde enviar sus datos para crear arquitecturas de aplicaciones que reaccionen en tiempo real a todas sus fuentes de datos. Puede crear un bus de eventos personalizado para recibir eventos de sus aplicaciones personalizadas, además de utilizar el bus de eventos predeterminado en cada cuenta. Puede crear un bus de eventos en la cuenta de Security Tooling que pueda recibir eventos específicos de seguridad de otras cuentas de la organización de AWS. Por ejemplo, al vincular las reglas de AWS Config y Security Hub con ellas EventBridge, se crea una canalización flexible y automatizada para enrutar los datos de seguridad, generar alertas y gestionar las acciones para resolver los problemas. GuardDuty

Consideraciones sobre el diseño

EventBridge es capaz de redirigir los eventos a varios objetivos diferentes. Un patrón valioso para automatizar las acciones de seguridad es conectar eventos específicos con los respondedores individuales de AWS Lambda, que toman las medidas adecuadas. Por ejemplo, en determinadas circunstancias, es posible que desee EventBridge enrutar la búsqueda de un bucket público de S3 a un respondedor Lambda que corrija la política del bucket y elimine los permisos públicos. Estos socorristas se pueden integrar en sus guías y manuales de investigación para coordinar las actividades de respuesta.
Una buena práctica para que un equipo de operaciones de seguridad tenga éxito es integrar el flujo de eventos y hallazgos de seguridad en un sistema de notificación y flujo de trabajo, como un sistema de venta de entradas, un sistema de errores o problemas u otro sistema de gestión de información y eventos de seguridad (SIEM). Esto elimina el flujo de trabajo del correo electrónico y los informes estáticos, y le ayuda a enrutar, escalar y gestionar los eventos o hallazgos. Las capacidades de enrutamiento flexibles EventBridge que ofrece son un poderoso facilitador de esta integración.

Amazon Detective

Amazon Detective apoya su estrategia de control de seguridad responsivo al facilitar el análisis, la investigación y la rápida identificación de la causa raíz de los hallazgos de seguridad o las actividades sospechosas para sus analistas de seguridad. Detective extrae automáticamente los eventos en función del tiempo, como los intentos de inicio de sesión, las llamadas a la API y el tráfico de red, de los registros de AWS y CloudTrail los registros de flujo de Amazon VPC. Puede usar Detective para acceder a datos de eventos históricos de hasta un año. Detective consume estos eventos mediante flujos de CloudTrail registros independientes y registros de flujo de Amazon VPC. Detective utiliza el aprendizaje automático y la visualización para crear una vista unificada e interactiva del comportamiento de sus recursos y las interacciones entre ellos a lo largo del tiempo, lo que se denomina gráfico de comportamiento. Puede explorar el gráfico de comportamiento para examinar acciones dispares, como intentos de inicio de sesión fallidos o llamadas sospechosas a la API.

Detective se integra con Amazon Security Lake para permitir a los analistas de seguridad consultar y recuperar los registros almacenados en Security Lake. Puede usar esta integración para obtener información adicional de los registros de AWS y CloudTrail los registros de flujo de Amazon VPC que se almacenan en Security Lake mientras realiza investigaciones de seguridad en Detective.

Detective también analiza los hallazgos detectados por Amazon GuardDuty, incluidas las amenazas detectadas por GuardDuty Runtime Monitoring. Cuando una cuenta habilita Detective, se convierte en la cuenta de administrador del gráfico de comportamiento. Antes de intentar activar Detective, asegúrate de que tu cuenta ha estado inscrita GuardDuty durante al menos 48 horas. Si no cumple con este requisito, no podrá habilitar Detective.

Detective agrupa automáticamente varios hallazgos relacionados con un único evento de compromiso de seguridad en grupos de búsqueda. Los actores de las amenazas suelen realizar una secuencia de acciones que conducen a múltiples hallazgos de seguridad repartidos en el tiempo y los recursos. Por lo tanto, encontrar grupos debe ser el punto de partida para las investigaciones que involucren múltiples entidades y hallazgos. Detective también proporciona resúmenes de grupos de búsqueda mediante el uso de IA generativa que analiza automáticamente la búsqueda de grupos y proporciona información en lenguaje natural para ayudarlo a acelerar las investigaciones de seguridad.

Detective se integra con AWS Organizations. La cuenta de administración de la organización delega una cuenta de miembro como cuenta de administrador de Detective. En la SRA de AWS, esta es la cuenta de herramientas de seguridad. La cuenta de administrador de Detectives tiene la capacidad de habilitar automáticamente todas las cuentas de los miembros actuales de la organización como cuentas de miembros de detectives y también de añadir nuevas cuentas de miembros a medida que se añaden a la organización de AWS. Las cuentas de administrador de Detectives también pueden invitar a cuentas de miembros que actualmente no residen en la organización de AWS, pero que se encuentran dentro de la misma región, para que contribuyan con sus datos al gráfico de comportamiento de la cuenta principal. Cuando una cuenta de miembro acepta la invitación y está habilitada, Detective comienza a ingerir y extraer los datos de la cuenta de miembro en ese gráfico de comportamiento.

Consideración del diseño

Puede ir a Detective buscando perfiles desde las consolas GuardDuty y AWS Security Hub. Estos enlaces pueden ayudar a agilizar el proceso de investigación. Tu cuenta debe ser la cuenta administrativa tanto de Detective como del servicio desde el que estás cambiando (GuardDuty o Security Hub). Si las cuentas principales son las mismas para los servicios, los enlaces de integración funcionan sin problemas.

AWS Audit Manager

AWS Audit Manager le ayuda a auditar continuamente su uso de AWS para simplificar la gestión de las auditorías y el cumplimiento de las normativas y los estándares del sector. Le permite pasar de recopilar, revisar y gestionar pruebas manualmente a una solución que automatiza la recopilación de pruebas, proporciona una forma sencilla de rastrear la fuente de las pruebas de auditoría, permite la colaboración en equipo y ayuda a gestionar la seguridad e integridad de las pruebas. Llegado el momento de una auditoría, Audit Manager le ayuda a gestionar las revisiones de sus controles por parte de las personas interesadas.

Con Audit Manager, puede realizar auditorías con marcos prediseñados, como el índice de referencia del Center for Internet Security (CIS), el índice de referencia CIS AWS Foundations, System and Organization Controls 2 (SOC 2) y el estándar de seguridad de datos del sector de las tarjetas de pago (PCI DSS). También le permite crear sus propios marcos con controles estándar o personalizados en función de sus requisitos específicos de auditoría interna.

Audit Manager recopila cuatro tipos de pruebas. Se automatizan tres tipos de pruebas: las pruebas de conformidad de AWS Config y AWS Security Hub, las pruebas de eventos de administración de AWS CloudTrail y las pruebas de configuración de las llamadas a las service-to-service API de AWS. Para las pruebas que no se pueden automatizar, Audit Manager le permite cargar pruebas manuales.

nota

Audit Manager ayuda a recopilar pruebas relevantes para verificar el cumplimiento de normas y reglamentos de cumplimiento específicos. Sin embargo, no evalúa su cumplimiento. Por lo tanto, es posible que las pruebas recopiladas a través de Audit Manager no incluyan detalles de los procesos operativos necesarios para las auditorías. Audit Manager no sustituye a los asesores legales ni a los expertos en cumplimiento. Le recomendamos que contrate los servicios de un evaluador externo que esté certificado para cumplir con los marcos de cumplimiento con los que se lo evalúa.

Las evaluaciones de Audit Manager se pueden ejecutar en varias cuentas de sus organizaciones de AWS. Audit Manager recopila y consolida las pruebas en una cuenta de administrador delegado en AWS Organizations. Esta funcionalidad de auditoría la utilizan principalmente los equipos de conformidad y auditoría interna, y solo requiere acceso de lectura a sus cuentas de AWS.

Consideraciones sobre el diseño

Audit Manager complementa otros servicios de seguridad de AWS, como Security Hub y AWS Config, para ayudar a implementar un marco de gestión de riesgos. Audit Manager proporciona una funcionalidad de control de riesgos independiente, mientras que Security Hub lo ayuda a supervisar su riesgo y los paquetes de conformidad de AWS Config ayudan a gestionar sus riesgos. Los profesionales de auditoría que estén familiarizados con el modelo de tres líneas desarrollado por el Instituto de Auditores Internos (IIA) deben tener en cuenta que esta combinación de servicios de AWS le ayuda a cubrir las tres líneas de defensa. Para obtener más información, consulte la serie de blogs de dos partes en el blog de operaciones y migraciones en la nube de AWS.
Para que Audit Manager recopile pruebas de Security Hub, la cuenta de administrador delegado de ambos servicios debe ser la misma cuenta de AWS. Por este motivo, en la SRA de AWS, la cuenta Security Tooling es el administrador delegado de Audit Manager.

AWS Artifact

AWS Artifact se aloja en la cuenta de herramientas de seguridad para separar la funcionalidad de administración de artefactos de conformidad de la cuenta de administración de organizaciones de AWS. Esta separación de funciones es importante porque le recomendamos que evite usar la cuenta de AWS Org Management para las implementaciones, a menos que sea absolutamente necesario. En su lugar, transfiera las implementaciones a las cuentas de los miembros. Como la administración de artefactos de auditoría se puede realizar desde la cuenta de un miembro y la función se alinea estrechamente con el equipo de seguridad y conformidad, la cuenta Security Tooling se designa como la cuenta de administrador de AWS Artifact. Puede utilizar los informes de AWS Artifact para descargar documentos de seguridad y conformidad de AWS, como las certificaciones ISO de AWS, los informes del sector de tarjetas de pago (PCI) y de controles de sistemas y organizaciones (SOC).

AWS Artifact no admite la función de administración delegada. En su lugar, puede restringir esta capacidad a solo las funciones de IAM en la cuenta de herramientas de seguridad que pertenezcan a sus equipos de auditoría y conformidad, de modo que puedan descargar, revisar y proporcionar esos informes a auditores externos según sea necesario. Además, puede restringir funciones de IAM específicas para tener acceso únicamente a informes específicos de AWS Artifact a través de las políticas de IAM. Para ver ejemplos de políticas de IAM, consulte la documentación de AWS Artifact.

Consideración del diseño

Si elige tener una cuenta de AWS dedicada para los equipos de auditoría y conformidad, puede alojar AWS Artifact en una cuenta de auditoría de seguridad, que es independiente de la cuenta de herramientas de seguridad. Los informes de AWS Artifact proporcionan pruebas que demuestran que una organización sigue un proceso documentado o cumple un requisito específico. Los artefactos de auditoría se recopilan y archivan a lo largo del ciclo de vida de desarrollo del sistema y se pueden utilizar como prueba en auditorías y evaluaciones internas o externas.

AWS KMS

AWS Key Management Service (AWS KMS) le ayuda a crear y administrar claves criptográficas, así como a controlar su uso en una amplia gama de servicios de AWS y en sus aplicaciones. AWS KMS es un servicio seguro y resistente que utiliza módulos de seguridad de hardware para proteger las claves criptográficas. Sigue los procesos de ciclo de vida estándar del sector para el material clave, como el almacenamiento, la rotación y el control de acceso a las claves. AWS KMS puede ayudar a proteger sus datos con claves de cifrado y firma, y se puede utilizar tanto para el cifrado del lado del servidor como para el cifrado del lado del cliente mediante el SDK de cifrado de AWS. Para mayor protección y flexibilidad, AWS KMS admite tres tipos de claves: claves administradas por el cliente, claves administradas por AWS y claves propias de AWS. Las claves administradas por el cliente son claves de AWS KMS de su cuenta de AWS que usted crea, posee y administra. Las claves administradas por AWS son claves de AWS KMS de su cuenta que un servicio de AWS integrado con AWS KMS crea, administra y utiliza en su nombre. Las claves propiedad de AWS son un conjunto de claves de AWS KMS que un servicio de AWS posee y administra para su uso en varias cuentas de AWS. Para obtener más información sobre el uso de claves de KMS, consulte la documentación de AWS KMS y los detalles criptográficos de AWS KMS.

Una opción de implementación consiste en centralizar la responsabilidad de la administración de claves de KMS en una sola cuenta y, al mismo tiempo, delegar la capacidad de usar las claves de la cuenta de la aplicación por parte de los recursos de la aplicación mediante una combinación de políticas clave y de IAM. Este enfoque es seguro y fácil de administrar, pero puede encontrar obstáculos debido a los límites de regulación de AWS KMS, a los límites de servicio de las cuentas y a que el equipo de seguridad esté sobrecargado de tareas operativas de administración de claves. Otra opción de implementación es tener un modelo descentralizado en el que permita que AWS KMS resida en varias cuentas y permita que los responsables de la infraestructura y las cargas de trabajo de una cuenta específica administren sus propias claves. Este modelo ofrece a sus equipos de carga de trabajo más control, flexibilidad y agilidad en cuanto al uso de las claves de cifrado. También ayuda a evitar los límites de las API, limita el alcance del impacto a una sola cuenta de AWS y simplifica los informes, la auditoría y otras tareas relacionadas con el cumplimiento. En un modelo descentralizado, es importante implementar y reforzar las barreras de seguridad para que las claves descentralizadas se administren de la misma manera y se audite el uso de las claves de KMS de acuerdo con las mejores prácticas y políticas establecidas. Para obtener más información, consulte el documento técnico Prácticas recomendadas de AWS Key Management Service. AWS SRA recomienda un modelo de administración de claves distribuidas en el que las claves de KMS residan localmente en la cuenta en la que se utilizan. Le recomendamos que evite usar una sola clave en una cuenta para todas las funciones criptográficas. Las claves se pueden crear en función de los requisitos de función y protección de datos, y para hacer cumplir el principio del privilegio mínimo. En algunos casos, los permisos de cifrado se mantendrían separados de los permisos de descifrado y los administradores gestionarían las funciones del ciclo de vida, pero no podrían cifrar ni descifrar los datos con las claves que administran.

En la cuenta Security Tooling, AWS KMS se usa para administrar el cifrado de los servicios de seguridad centralizados, como el registro CloudTrail organizativo de AWS que administra la organización de AWS.

Autoridad de certificación privada de AWS

AWS Private Certificate Authority(Autoridad de certificación privada de AWS) es un servicio de CA privado gestionado que le ayuda a gestionar de forma segura el ciclo de vida de sus certificados TLS de entidades finales privadas para instancias EC2, contenedores, dispositivos IoT y recursos locales. Permite las comunicaciones TLS cifradas con las aplicaciones en ejecución. Con él Autoridad de certificación privada de AWS, puede crear su propia jerarquía de entidades de certificación (desde una CA raíz, pasando por las CA subordinadas hasta los certificados de la entidad final) y emitir certificados con ella para autenticar a los usuarios internos, los ordenadores, las aplicaciones, los servicios, los servidores y otros dispositivos, así como para firmar el código informático. Los certificados emitidos por una entidad emisora de certificados privada solo son de confianza en su organización de AWS, no en Internet.

Una infraestructura de clave pública (PKI) o un equipo de seguridad pueden ser responsables de administrar toda la infraestructura de la PKI. Esto incluye la administración y la creación de la CA privada. Sin embargo, debe haber una disposición que permita a los equipos de carga de trabajo cumplir por sí mismos sus requisitos de certificación. La SRA de AWS describe una jerarquía de CA centralizada en la que la CA raíz se aloja en la cuenta de Security Tooling. Esto permite a los equipos de seguridad aplicar controles de seguridad estrictos, ya que la CA raíz es la base de toda la PKI. Sin embargo, la creación de certificados privados desde la CA privada se delega en los equipos de desarrollo de aplicaciones al compartir la CA en una cuenta de aplicación mediante AWS Resource Access Manager (AWS RAM). La RAM de AWS administra los permisos necesarios para el uso compartido entre cuentas. Esto elimina la necesidad de una CA privada en cada cuenta y proporciona una forma de implementación más rentable. Para obtener más información sobre el flujo de trabajo y la implementación, consulte la entrada del blog Cómo usar AWS RAM para compartir Autoridad de certificación privada de AWS cuentas cruzadas.

nota

ACM también le ayuda a aprovisionar, administrar e implementar certificados TLS públicos para usarlos con los servicios de AWS. Para admitir esta funcionalidad, ACM debe residir en la cuenta de AWS que utilizaría el certificado público. Esto se explica más adelante en esta guía, en la sección Cuenta de la aplicación.

Consideraciones sobre el diseño

Con Autoridad de certificación privada de AWS ella, puede crear una jerarquía de autoridades de certificación de hasta cinco niveles. También puede crear varias jerarquías, cada una con su propia raíz. La Autoridad de certificación privada de AWS jerarquía debe ajustarse al diseño de la PKI de su organización. Sin embargo, tenga en cuenta que al aumentar la jerarquía de las entidades emisoras de certificados aumentará el número de certificados en la ruta de certificación, lo que, a su vez, aumentará el tiempo de validación de un certificado de la entidad final. Una jerarquía de CA bien definida ofrece beneficios que incluyen un control de seguridad granular adecuado para cada CA, la delegación de la CA subordinada a una aplicación diferente, lo que lleva a la división de las tareas administrativas, el uso de una CA con una confianza revocable limitada, la capacidad de definir diferentes períodos de validez y la capacidad de hacer cumplir los límites de las rutas. Lo ideal es que las CA raíz y las subordinadas estén en cuentas de AWS independientes. Para obtener más información sobre cómo planificar una jerarquía de CA mediante el uso Autoridad de certificación privada de AWS, consulte la Autoridad de certificación privada de AWS documentación y la entrada del blog Cómo proteger una Autoridad de certificación privada de AWS jerarquía a escala empresarial para la automoción y la fabricación.
Autoridad de certificación privada de AWS puede integrarse con su jerarquía de CA existente, lo que le permite utilizar la capacidad de automatización e integración nativa de AWS de ACM junto con la raíz de confianza existente que utiliza en la actualidad. Puede crear una CA subordinada Autoridad de certificación privada de AWS respaldada por una CA principal in situ. Para obtener más información sobre la implementación, consulte Instalación de un certificado de CA subordinada firmado por una CA principal externa en la Autoridad de certificación privada de AWS documentación.

Amazon Inspector

Amazon Inspector es un servicio automatizado de administración de vulnerabilidades que descubre y analiza automáticamente las instancias de Amazon EC2, las imágenes de contenedores de Amazon Container Registry (Amazon ECR) y las funciones de AWS Lambda para detectar vulnerabilidades de software conocidas y exposiciones no intencionadas en la red.

Amazon Inspector evalúa continuamente su entorno a lo largo del ciclo de vida de sus recursos, escaneando automáticamente los recursos cada vez que los modifica. Los eventos que inician la redigitalización de un recurso incluyen la instalación de un nuevo paquete en una instancia de EC2, la instalación de un parche y la publicación de un nuevo informe sobre vulnerabilidades y exposiciones comunes (CVE) que afecta al recurso. Amazon Inspector admite las evaluaciones comparativas del Centro de Seguridad de Internet (CIS) para sistemas operativos en instancias EC2.

Amazon Inspector se integra con herramientas para desarrolladores, como Jenkins, y TeamCity para la evaluación de imágenes de contenedores. Puede evaluar las imágenes de sus contenedores para detectar vulnerabilidades de software con sus herramientas de integración y entrega continuas (CI/CD) y llevar la seguridad a una fase más temprana del ciclo de vida del desarrollo del software. Los resultados de la evaluación están disponibles en el panel de control de la herramienta de CI/CD, por lo que puede realizar acciones automatizadas en respuesta a problemas de seguridad críticos, como el bloqueo de compilaciones o el envío de imágenes a los registros de contenedores. Si tienes una cuenta de AWS activa, puedes instalar el complemento Amazon Inspector desde tu tienda de herramientas de CI/CD y añadir un escaneo de Amazon Inspector a tu proceso de creación sin necesidad de activar el servicio Amazon Inspector. Esta función funciona con herramientas de CI/CD alojadas en cualquier lugar (en AWS, en las instalaciones o en nubes híbridas) para que pueda utilizar una única solución de forma uniforme en todos sus procesos de desarrollo. Cuando Amazon Inspector está activado, descubre automáticamente todas las instancias de EC2, las imágenes de contenedores en las herramientas de Amazon ECR y CI/CD y las funciones de AWS Lambda a escala, y las monitorea continuamente para detectar vulnerabilidades conocidas.

Los resultados de accesibilidad de la red de Amazon Inspector evalúan la accesibilidad de sus instancias EC2 hacia o desde los bordes de la VPC, como las puertas de enlace de Internet, las conexiones de emparejamiento de VPC o las redes privadas virtuales (VPN) a través de una puerta de enlace virtual. Estas reglas ayudan a automatizar la supervisión de sus redes de AWS e identificar dónde el acceso a la red a sus instancias EC2 podría estar mal configurado debido a la mala administración de grupos de seguridad, listas de control de acceso (ACL), puertas de enlace de Internet, etc. Para obtener más información, consulta la documentación de Amazon Inspector.

Cuando Amazon Inspector identifica vulnerabilidades o rutas de red abiertas, produce una conclusión que usted puede investigar. El hallazgo incluye detalles exhaustivos sobre la vulnerabilidad, incluida una puntuación de riesgo, el recurso afectado y recomendaciones de remediación. La puntuación de riesgo se adapta específicamente a su entorno y se calcula correlacionando la información de la up-to-date CVE con factores temporales y ambientales, como la información sobre la accesibilidad y la explotabilidad de la red, a fin de proporcionar una conclusión contextual.

Para buscar vulnerabilidades, las instancias EC2 deben administrarse en AWS Systems Manager mediante AWS Systems Manager Agent (SSM Agent). No se requieren agentes para que las instancias EC2 puedan acceder a la red ni para escanear las vulnerabilidades de las imágenes de contenedores en las funciones de Amazon ECR o Lambda.

Amazon Inspector está integrado con AWS Organizations y admite la administración delegada. En la SRA de AWS, la cuenta de herramientas de seguridad se convierte en la cuenta de administrador delegado de Amazon Inspector. La cuenta de administrador delegado de Amazon Inspector puede gestionar los hallazgos, los datos y determinados ajustes de los miembros de la organización de AWS. Esto incluye ver los detalles de los resultados agregados de todas las cuentas de los miembros, habilitar o deshabilitar los escaneos de las cuentas de los miembros y revisar los recursos escaneados dentro de la organización de AWS.

Consideraciones sobre el diseño

Amazon Inspector se integra automáticamente con AWS Security Hub cuando ambos servicios están habilitados. Puedes usar esta integración para enviar todas las conclusiones de Amazon Inspector a Security Hub, que las incluirá después en su análisis de tu postura de seguridad.
Amazon Inspector exporta automáticamente los eventos en busca de hallazgos, cambios en la cobertura de recursos y escaneos iniciales de recursos individuales a Amazon y EventBridge, opcionalmente, a un depósito de Amazon Simple Storage Service (Amazon S3). Para exportar los hallazgos activos a un bucket de S3, necesita una clave de AWS KMS que Amazon Inspector pueda usar para cifrar los hallazgos y un bucket de S3 con permisos que permitan a Amazon Inspector cargar objetos. EventBridge La integración le permite monitorear y procesar los hallazgos casi en tiempo real como parte de sus flujos de trabajo actuales de seguridad y conformidad. EventBridge los eventos se publican en la cuenta de administrador delegado de Amazon Inspector además de en la cuenta de miembro en la que se originaron.

Ejemplo de implementación

La biblioteca de códigos SRA de AWS proporciona un ejemplo de implementación de Amazon Inspector. Demuestra la administración delegada (herramientas de seguridad) y configura Amazon Inspector para todas las cuentas existentes y futuras de la organización de AWS.

Implementación de servicios de seguridad comunes en todas las cuentas de AWS

En la sección Aplicar servicios de seguridad en toda la organización de AWS, que aparece anteriormente en esta referencia, se destacaban los servicios de seguridad que protegen una cuenta de AWS y se señala que muchos de estos servicios también se pueden configurar y gestionar en AWS Organizations. Algunos de estos servicios deberían implementarse en todas las cuentas y los verá en la SRA de AWS. Esto permite un conjunto coherente de barreras y proporciona supervisión, administración y gobierno centralizados en toda su organización de AWS.

Los registros de CloudTrail organización de AWS GuardDuty, Security Hub, AWS Config y Access Analyzer aparecen en todas las cuentas. Los tres primeros admiten la función de administrador delegado que se ha descrito anteriormente en la sección de administración de cuentas, acceso de confianza y administradores delegados. CloudTrail actualmente utiliza un mecanismo de agregación diferente.

El repositorio de GitHub códigos SRA de AWS proporciona un ejemplo de implementación para habilitar Security Hub GuardDuty, AWS Config, Firewall Manager y registros CloudTrail organizativos en todas sus cuentas, incluida la cuenta de AWS Org Management.

Consideraciones sobre el diseño

Las configuraciones de cuentas específicas pueden requerir servicios de seguridad adicionales. Por ejemplo, las cuentas que administran buckets de S3 (las cuentas de Application y Log Archive) también deberían incluir Amazon Macie y considerar la posibilidad de activar CloudTrail el registro de eventos de datos de S3 en estos servicios de seguridad comunes. (Macie admite la administración delegada con una configuración y un monitoreo centralizados). Otro ejemplo es Amazon Inspector, que solo se aplica a las cuentas que alojan instancias de EC2 o imágenes de Amazon ECR.
Además de los servicios descritos anteriormente en esta sección, la SRA de AWS incluye dos servicios centrados en la seguridad, Amazon Detective y AWS Audit Manager, que admiten la integración de AWS Organizations y la funcionalidad de administrador delegado. Sin embargo, no se incluyen como parte de los servicios recomendados para la creación de bases de cuentas, ya que hemos observado que es mejor utilizarlos en los siguientes escenarios:
- Cuenta con un equipo o grupo de recursos dedicados que realizan estas funciones. Los equipos de analistas de seguridad utilizan mejor Detective y Audit Manager es útil para sus equipos de auditoría interna o cumplimiento.
- Desea centrarse en un conjunto básico de herramientas, como GuardDuty un Security Hub, al principio del proyecto y, después, desarrollarlas mediante el uso de servicios que proporcionan capacidades adicionales.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cuenta de gestión de la organización

Security OU — Cuenta Log Archive