Ejemplo de equipo de nube: cambio de configuraciones de VPC

El equipo de la nube es responsable de clasificar y corregir los hallazgos de seguridad que tienen tendencias comunes, como los cambios en la configuración AWS predeterminada que podrían no adaptarse a su caso de uso. Estos hallazgos suelen afectar a muchos Cuentas de AWS recursos, como las configuraciones de VPC, o incluyen una restricción que debería aplicarse a todo el entorno. En su mayor parte, el equipo de la nube realiza cambios manuales y puntuales, como agregar o actualizar una política.

Después de que su organización haya utilizado un AWS entorno durante algún tiempo, es posible que se esté desarrollando un conjunto de antipatrones. Un antipatrón es una solución que se utiliza con frecuencia para un problema recurrente en el que la solución es contraproducente, ineficaz o menos eficaz que una alternativa. Como alternativa a estos antipatrones, su organización puede utilizar restricciones más eficaces en todo el entorno, como las políticas de control de AWS Organizations servicios (SCP) o los conjuntos de permisos del IAM Identity Center. Los SCP y los conjuntos de permisos pueden proporcionar restricciones adicionales para los tipos de recursos, como impedir que los usuarios configuren un bucket público de Amazon Simple Storage Service (Amazon S3). Si bien puede resultar tentador restringir todas las configuraciones de seguridad posibles, existen límites de tamaño en las políticas para los SCP y los conjuntos de permisos. Recomendamos un enfoque equilibrado de los controles preventivos y de detección.

Los siguientes son algunos controles del estándar de mejores prácticas de seguridad AWS Security Hub fundamentales (FSBP) de los que podría ser responsable el equipo de la nube:

• [EC2.2] El grupo de seguridad predeterminado de la VPC no debe permitir el tráfico entrante ni saliente

• [EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

• [EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

• [CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

• [Config.1] AWS Config debe estar activado

Para este ejemplo, el equipo de la nube está abordando un hallazgo relacionado con el control EC2.2 del FSBP. En la documentación de este control se recomienda no utilizar el grupo de seguridad predeterminado, ya que permite un amplio acceso mediante las reglas de entrada y salida predeterminadas. Como el grupo de seguridad predeterminado no se puede eliminar, se recomienda cambiar la configuración de las reglas para restringir el tráfico entrante y saliente. Para abordar este problema de manera eficiente, el equipo de la nube debe usar los mecanismos establecidos para modificar las reglas de los grupos de seguridad para todas las VPC, ya que cada VPC tiene este grupo de seguridad predeterminado. En la mayoría de los casos, los equipos de nube administran las configuraciones de VPC mediante AWS Control Towerpersonalizaciones o una herramienta de infraestructura como código (IaC), como o. HashiCorp TerraformAWS CloudFormation