Documentación y centralización de los diagramas de arquitectura - Guía del usuario de Respuesta frente a incidencias de seguridad de AWS

Documentación y centralización de los diagramas de arquitectura

Para responder de forma rápida y precisa ante un incidente de seguridad, debe comprender la arquitectura de sus sistemas y redes. Comprender estos patrones internos no solo es importante para responder ante incidentes, sino también para verificar la coherencia entre las aplicaciones con las que se diseñan los patrones, de acuerdo con las prácticas recomendadas. También debe comprobar que esta documentación esté actualizada y se actualice periódicamente de acuerdo con los nuevos patrones de arquitectura. Debe desarrollar documentación y repositorios internos que detallen elementos como:

  • Estructura de cuentas de AWS: necesita saber:

    • ¿Cuántas cuentas de AWS tiene?

    • ¿Cómo están organizadas esas cuentas de AWS?

    • ¿Quiénes son los propietarios de la empresa de las cuentas de AWS?

    • ¿Utiliza políticas de control de servicio (SCP)? Si es así, ¿qué barreras de protección organizativas se implementan mediante las SCP?

    • ¿Limita las regiones y los servicios que se pueden usar?

    • ¿Qué diferencias hay entre las unidades de negocio y los entornos (desarrollo/pruebas/producción)?

  • Patrones de servicio de AWS

    • ¿Qué servicios de AWS utiliza?

    • ¿Cuáles son los servicios de AWS más utilizados?

  • Patrones de arquitectura

    • ¿Qué arquitecturas en la nube utiliza?

  • Patrones de autenticación de AWS

    • ¿Cómo se suelen autenticar los desarrolladores en AWS?

    • ¿Utiliza roles o usuarios de IAM (o ambos)? ¿Su autenticación en AWS está conectada a un proveedor de identidades (IdP)?

    • ¿Cómo asigna un rol o un usuario de IAM a un empleado o un sistema?

    • ¿Cómo se revoca el acceso cuando alguien ya no está autorizado?

  • Patrones de autorización de AWS

    • ¿Qué políticas de IAM utilizan sus desarrolladores?

    • ¿Utiliza políticas basadas en recursos?

  • Registro y monitoreo

    • ¿Qué orígenes de registro utiliza y dónde se almacenan?

    • ¿Agrega los registros de AWS CloudTrail? Si es así, ¿dónde se almacenan?

    • ¿Cómo consulta los registros de CloudTrail?

    • ¿Ha activado Amazon GuardDuty?

    • ¿Cómo accede a los resultados de GuardDuty (por ejemplo, consola, sistema de tickets, SIEM)?

    • ¿Los resultados o eventos se agregan en un SIEM?

    • ¿Los tickets se crean automáticamente?

    • ¿Qué herramientas se utilizan para analizar los registros en una investigación?

  • Topología de red

    • ¿Cómo se organizan física o lógicamente los dispositivos, los puntos de conexión y las conexiones de su red?

    • ¿Cómo se conecta su red con AWS?

    • ¿Cómo se filtra el tráfico de red entre entornos?

  • Infraestructura externa

    • ¿Cómo se implementan las aplicaciones orientadas al exterior?

    • ¿Qué recursos de AWS son de acceso público?

    • ¿Qué cuentas de AWS contienen infraestructura orientada al exterior?

    • ¿Qué filtros de DDoS o externos existen?

La documentación de los procesos y diagramas técnicos internos facilita el trabajo del analista de respuesta ante incidentes y lo ayuda a obtener rápidamente los conocimientos institucionales necesarios para responder a un incidente de seguridad. La documentación exhaustiva de los procesos técnicos internos no solo simplifica las investigaciones de seguridad, sino que también permite racionalizar y evaluar los procesos.