Contención del origen - Guía del usuario de Respuesta frente a incidencias de seguridad de AWS

Contención del origen

La contención del origen es el uso y la aplicación de filtrado o enrutamiento dentro de un entorno para impedir el acceso a los recursos desde una dirección IP de origen o un rango de red específicos. A continuación, se destacan algunos ejemplos de contención del origen mediante servicios de AWS:

  • Grupos de seguridad: crear y aplicar grupos de seguridad de aislamiento a instancias de Amazon EC2 o eliminar reglas de un grupo de seguridad existente puede ayudar a contener el tráfico no autorizado a una instancia de Amazon EC2 o recurso de AWS. Es importante tener en cuenta que las conexiones rastreadas existentes no se cerrarán como resultado del cambio de grupos de seguridad; el nuevo grupo de seguridad solo bloqueará eficazmente el tráfico futuro (consulte este manual de estrategias de respuesta ante incidentes y Seguimiento de conexiones del grupo de seguridad para obtener más información sobre las conexiones rastreadas y no rastreadas).

  • Políticas: las políticas de bucket de Amazon S3 se pueden configurar para bloquear o permitir el tráfico desde una dirección IP, un rango de redes o un punto de conexión de VPC. Las políticas crean la capacidad de bloquear direcciones sospechosas y el acceso al bucket de Amazon S3. Puede encontrar más información sobre las políticas de bucket en Agregar una política de bucket mediante la consola de Amazon S3.

  • AWS WAF: las listas de control de acceso web (ACL web) se pueden configurar en AWS WAF para proporcionar un control detallado sobre las solicitudes web a las que responden los recursos. Puede agregar una dirección IP o un rango de redes a un conjunto de IP configurado en AWS WAF y aplicar condiciones de coincidencia, como bloqueo, al conjunto de IP. Esto bloqueará las solicitudes web a un recurso si la dirección IP o los rangos de red del tráfico de origen coinciden con los configurados en las reglas del conjunto de IP.

En el siguiente diagrama se puede ver un ejemplo de contención de origen en el que un analista de respuesta ante incidentes modifica un grupo de seguridad de una instancia de Amazon EC2 para restringir las nuevas conexiones solo a determinadas direcciones IP. Como se indica en el punto sobre los grupos de seguridad, como resultado del cambio de grupos de seguridad las conexiones rastreadas existentes no se cerrarán.

Diagrama en el que se muestra un ejemplo de contención del origen

Ejemplo de contención del origen

nota

Los grupos de seguridad y las ACL de la red no filtran el tráfico a Amazon Route 53. Al contener una instancia de EC2, si quiere evitar que se comunique con hosts externos, asegúrese de bloquear también de forma explícita las comunicaciones DNS.