Prácticas recomendadas de seguridad para Systems Manager - AWS Systems Manager
Prácticas recomendadas preventivas de seguridad de Systems ManagerPrácticas recomendadas de monitorización y auditoría de Systems Manager

Prácticas recomendadas de seguridad para Systems Manager

AWS Systems Manager proporciona un número de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.

Prácticas recomendadas preventivas de seguridad de Systems Manager

Las siguientes prácticas recomendadas para Systems Manager pueden serle de utilidad para evitar incidentes de seguridad.

Implementación del acceso a los privilegios mínimos

Cuando concede permisos, debe decidir a quién concede cada permiso y para qué recurso de Systems Manager se lo concede. Permita las acciones específicas que desea permitir en estos recursos. Por lo tanto, debe conceder únicamente los permisos obligatorios para realizar una tarea. La implementación del acceso con privilegios mínimos es esencial a la hora de reducir los riesgos de seguridad y el impacto que podrían causar los errores o los intentos malintencionados.

Las siguientes herramientas están disponibles para implementar el acceso a los privilegios mínimos:

Uso de parámetros SecureString para cifrar y proteger datos secretos

En Parameter Store, una capacidad de AWS Systems Manager, un parámetro SecureString es toda información confidencial que debe almacenarse o a la que se hace referencia de forma segura. Si tiene datos que no desea que los usuarios modifiquen o a los que no deban hacer referencia en texto sin formato, tales como contraseñas o claves de licencias, cree esos parámetros utilizando el tipo de datos SecureString. Parameter Store utiliza una AWS KMS key en AWS Key Management Service (AWS KMS) para cifrar el valor del parámetro. AWS KMS utiliza una clave administrada por el cliente o una Clave administrada de AWS cuando cifra el valor del parámetro. Para lograr la máxima seguridad, le recomendamos usar su propia clave de KMS. Si utiliza la Clave administrada de AWS, cualquier usuario con permiso para ejecutar las acciones GetParameter y GetParameters en su cuenta podrá ver o recuperar el contenido de todos los parámetros de SecureString. Si utiliza claves administradas por el cliente para cifrar los valores seguros SecureString, puede usar políticas de IAM y políticas de claves para administrar los permisos para cifrar y descifrar parámetros. Es más difícil establecer políticas de control de acceso para estas operaciones si utiliza claves administradas por el cliente. Por ejemplo, si utiliza la Clave administrada de AWS para cifrar parámetros SecureString y no desea que los usuarios trabajen con parámetros SecureString, sus políticas de IAM deben denegar explícitamente el acceso a la clave predeterminada.

Para obtener más información, consulte Restricción del acceso a los parámetros de Systems Manager mediante políticas de IAM y Uso de AWS Systems ManagerParameter Store de AWS KMS en la Guía para desarrolladores de AWS Key Management Service.

Definición de allowedValues y allowedPattern para parámetros de documentos

Puede validar la entrada del usuario para los parámetros de documentos de Systems Manager (documentos de SSM) mediante la definición de allowedValues y allowedPattern. En allowedValues, debe definir una matriz de valores permitidos para el parámetro. Si un usuario introduce un valor que no está permitido, la ejecución no se iniciará. En allowedPattern, debe definir una expresión regular que valide si la entrada del usuario coincide con el patrón definido para el parámetro. Si la entrada del usuario no coincide con el patrón permitido, la ejecución no se iniciará.

Para obtener más información sobre allowedValues y allowedPattern, consulte Elementos y parámetros de datos.

Bloqueo del uso compartido público de documentos

A menos que su caso de uso requiera que se permita el uso compartido público, le recomendamos que active la configuración de bloqueo de uso compartido público para sus documentos de SSM en la sección Preferences (Preferencias) en la consola de documentos de Systems Manager.

Uso de una Amazon Virtual Private Cloud (Amazon VPC) y puntos de enlace de la VPC

Puede usar Amazon VPC para lanzar recursos de AWS en una red virtual que haya definido. Esta red virtual es muy similar a la red tradicional que usaría en su propio centro de datos, pero con los beneficios que supone utilizar la infraestructura escalable de AWS.

Implementar un punto de conexión de VPC permite conectar de forma privada su VPC a los Servicios de AWS y a los servicios de punto de conexión de VPC basados en AWS PrivateLink compatibles sin necesidad de una puerta de enlace de Internet, un dispositivo NAT, una conexión de VPN ni una conexión de AWS Direct Connect. Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con los recursos del servicio. El tráfico entre su VPC y el servicio no sale de la red de Amazon.

Para obtener más información acerca de la seguridad de Amazon VPC, consulte Crear puntos de conexión de VPC y Privacidad del tráfico entre redes en Amazon VPC en la Guía del usuario de Amazon VPC.

Restrinja a los usuarios de Session Manager a las sesiones mediante comandos interactivos y documentos de sesión SSM específicos.

Session Manager, una capacidad de AWS Systems Manager, proporciona varios métodos para comenzar sesiones en los nodos administrados. Para las conexiones más seguras, puede requerir que los usuarios se conecten con el método de comandos interactivos para limitar la interacción del usuario a un comando o secuencia de comandos específicos. Esto le ayuda a administrar las acciones interactivas que puede realizar un usuario. Para obtener más información, consulte Inicio de una sesión (comandos interactivos y no interactivos).

Para mayor seguridad, puede limitar el acceso de instancias específicas de Amazon EC2 a Session Manager y a documentos de sesión específicos de Session Manager. Puede conceder o revocar el acceso a Session Manager de esta manera mediante políticas AWS Identity and Access Management (IAM). Para obtener más información, consulte Paso 3: controlar el acceso de la sesión a los nodos administrados.

Proporción de permisos de nodos temporales para flujos de trabajo de Automation

Durante un flujo de trabajo de Automation, una capacidad de AWS Systems Manager, es posible que los nodos necesiten permisos que solo se requieran para esa ejecución, pero no para otras operaciones de Systems Manager. Por ejemplo, un flujo de trabajo de Automation puede requerir un nodo para llamar a una determinada operación de la API o acceder a un recurso de AWS en particular durante el flujo de trabajo. Si estas llamadas o recursos son aquellos a los que desea limitar el acceso, puede proporcionar permisos temporales y suplementarios para los nodos dentro del propio manual de procedimientos de Automation, en lugar de agregar los permisos al perfil de instancias de IAM. Al final del flujo de trabajo de Automation, se retiran los permisos temporales. Para obtener más información, consulte Cómo proporcionar permisos de instancia temporales con Automations de AWS Systems Manager en el Blog de administración y gobernanza de AWS.

Mantención de las herramientas de AWS y Systems Manager actualizadas

AWS publica periódicamente versiones actualizadas de herramientas y complementos que puede usar en su operaciones de AWS y Systems Manager. Mantener estos recursos actualizados garantiza que los usuarios y los nodos de la cuenta tengan acceso a la funcionalidad y las características de seguridad más recientes de estas herramientas.

  • SSM Agent: AWS Systems Manager Agent (SSM Agent) es el software de Amazon que se puede instalar y configurar en una instancia de Amazon Elastic Compute Cloud (Amazon EC2), un servidor local o en una máquina virtual. SSM Agent permite que Systems Manager actualice, administre y configure estos recursos. Recomendamos comprobar si hay nuevas versiones o automatizar las actualizaciones del agente, al menos cada dos semanas. Para obtener más información, consulte Automatización de las actualizaciones de SSM Agent. También recomendamos verificar la firma de SSM Agent como parte de su proceso de actualización. Para obtener más información, consulte Verificación de la firma de SSM Agent.

  • AWS CLI: la AWS Command Line Interface (AWS CLI) es una herramienta de código abierto que le permite interactuar con Servicios de AWS mediante el uso de comandos en el shell de la línea de comandos. Para actualizar la AWS CLI, ejecute el mismo comando utilizado para instalar la AWS CLI. Recomendamos crear una tarea programada en el equipo local que ejecute el comando apropiado para su sistema operativo al menos una vez cada dos semanas. Para obtener información acerca de la instalación de comandos, consulte Instalación de la versión 2 de AWS CLI en la Guía del usuario de AWS Command Line Interface.

  • AWS Tools for Windows PowerShell: las Tools for Windows PowerShell son un conjunto de módulos de PowerShell basados en la funcionalidad expuesta por el AWS SDK para .NET. Las AWS Tools for Windows PowerShell permiten realizar operaciones mediante scripts en sus recursos de AWS desde la línea de comandos de PowerShell. De forma periódica, cuando se publiquen versiones actualizadas de Tools for Windows PowerShell, debería actualizar la versión que ejecuta localmente. Para obtener información, consulte Actualización de AWS Tools for Windows PowerShell en Windows o Actualización de AWS Tools for Windows PowerShell en Linux o macOS en la Guía del usuario del simulador de políticas de IAM.

  • Complemento de Session Manager: si los usuarios de la organización con permisos para utilizar Session Manager desean conectarse a un nodo mediante la AWS CLI, antes deben instalar el complemento de Session Manager en sus equipos locales. Para actualizar el complemento, ejecute el mismo comando utilizado para instalarlo. Recomendamos crear una tarea programada en el equipo local que ejecute el comando apropiado para su sistema operativo al menos una vez cada dos semanas. Para obtener más información, consulte Instalación del complemento de Session Manager para la AWS CLI.

  • Agente de CloudWatch: puede configurar y utilizar el agente de CloudWatch para recopilar métricas y registros de las instancias EC2, las instancias locales y las máquinas virtuales. Estos registros se pueden enviar a los Registros de Amazon CloudWatch para su monitoreo y análisis. Recomendamos comprobar si hay nuevas versiones o automatizar las actualizaciones del agente, al menos cada dos semanas. Para las actualizaciones más simples, use la configuración rápida de AWS Systems Manager. Para obtener más información, consulte AWS Systems Manager Quick Setup.

Prácticas recomendadas de monitorización y auditoría de Systems Manager

Las siguientes prácticas recomendadas para Systems Manager le pueden ser de utilidad para detectar los incidentes y los posibles puntos débiles de la seguridad.

Identificación y auditoría de todos los recursos de Systems Manager

La identificación de sus activos de TI es un aspecto fundamental de seguridad y control. Tiene que identificar todos sus recursos de Systems Manager para evaluar sus medidas de seguridad y tomar así las medidas pertinentes respecto a las posibles áreas de debilidad.

Utilice Tag Editor para identificar los recursos que precisan más seguridad o una auditoría y utilice dichas etiquetas cuando tenga que buscarlos. Para obtener más información, consulte Búsqueda de recursos para etiquetar en la Guía del usuario de AWS Resource Groups.

Cree grupos de recursos para sus recursos de Systems Manager. Para obtener más información, consulte What are resource groups? (¿Qué son los grupos de recursos?)

Implementación del monitoreo mediante las herramientas de monitoreo de Amazon CloudWatch

El monitoreo es una parte importante del mantenimiento de la fiabilidad, la seguridad, la disponibilidad y el rendimiento de Systems Manager y sus soluciones de AWS. Amazon CloudWatch ofrece varias herramientas y servicios para ayudarlo a supervisar Systems Manager y sus otros Servicios de AWS. Para obtener más información, consulte Envío de registros de nodos a los Registros de CloudWatch (agente de CloudWatch) unificado y Monitoreo de eventos de Systems Manager con Amazon EventBridge.

Uso de CloudTrail

AWS CloudTrail proporciona un registro de las medidas adoptadas por un usuario, un rol o un Servicio de AWS en Systems Manager. Mediante la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a Systems Manager, la dirección IP desde la que se realizó, quién la realizó y cuándo, etc. Para obtener más información, consulte Registro de llamadas a la API de AWS Systems Manager con AWS CloudTrail.

Activar AWS Config

AWS Config le permite examinar, auditar y evaluar las configuraciones de sus recursos de AWS. AWS Config monitorea las configuraciones de los recursos, lo que le permite evaluar las configuraciones registradas respecto a las configuraciones de seguridad requeridas. Con AWS Config, puede revisar los cambios en las configuraciones y las relaciones entre los recursos de AWS, investigar los historiales detallados de configuración de recursos y determinar la conformidad general con respecto a las configuraciones especificadas en las pautas internas. Esto le puede ser de utilidad para simplificar las auditorías de conformidad, los análisis de seguridad, la administración de cambios y la resolución de problemas operativos. Para obtener más información, consulte Configuración de AWS Config mediante la consola en la Guía para desarrolladores de AWS Config. Al especificar los tipos de recursos para registras, asegúrese de incluir los recursos de Systems Manager.

Monitoreo de los avisos de seguridad de AWS

Debe comprobar con regularidad los avisos sobre seguridad publicados en Trusted Advisor para su Cuenta de AWS. Puede hacer esto mediante programación con describe-trusted-advisor-checks.

Además, supervise de forma activa la dirección principal de email registrada en cada una de sus Cuentas de AWS. AWS contactará con usted, a través de esta dirección de email, para informarle sobre los problemas de seguridad que surjan y que pudieran afectarle.

Los problemas operativos de AWS con gran alcance se publican en AWS Service Health Dashboard. Los problemas operativos también se publican en las cuentas individuales a través del Personal Health Dashboard. Para obtener más información, consulte la documentación de AWS Health.

Más información