SEC06-BP03 Reducción de la administración manual y el acceso interactivo - AWS Well-Architected Framework

SEC06-BP03 Reducción de la administración manual y el acceso interactivo

Utilice la automatización para realizar tareas de despliegue, configuración, mantenimiento e investigación siempre que sea posible. Plantéese el acceso manual a los recursos informáticos en casos de procedimientos de emergencia o en entornos seguros (entornos de pruebas) cuando la automatización no esté disponible.

Resultado deseado: usar scripts programáticos y documentos de automatización (runbooks) para capturar las acciones autorizadas en sus recursos informáticos. Estos runbooks se inician de forma automática, mediante sistemas de detección de cambios, o manualmente, cuando se requiere una intervención humana. El acceso directo a los recursos informáticos solo está disponible en situaciones de emergencia cuando la automatización no está disponible. Todas las actividades manuales se registran y se incorporan a un proceso de revisión para mejorar continuamente las capacidades de automatización.

Antipatrones usuales:

  • Acceso interactivo a instancias de Amazon EC2 con protocolos como SSH o RDP.

  • Mantener inicios de sesión de los usuarios individuales, como /etc/passwd o los usuarios locales de Windows.

  • Compartir una contraseña o una clave privada para acceder a una instancia entre varios usuarios.

  • Instalar el software y crear o actualizar los archivos de configuración manualmente.

  • Actualizar o parchear el software manualmente.

  • Iniciar sesión en una instancia para solucionar problemas.

Beneficios de establecer esta práctica recomendada: utilizar la automatización para llevar a cabo acciones le ayuda a reducir el riesgo operativo de los cambios no deseados y los errores de configuración. Eliminar el uso de Secure Shell (SSH) y Remote Desktop Protocol (RDP) para el acceso interactivo reduce el alcance del acceso a los recursos informáticos. Todo esto elimina una ruta que se utiliza habitualmente para realizar acciones no autorizadas. Al reflejar las tareas de administración de recursos informáticos en documentos de automatización y scripts programáticos, se proporciona un mecanismo para definir y auditar todo el alcance de las actividades autorizadas con un alto nivel de detalle.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

El inicio de sesión en una instancia es un enfoque clásico de la administración del sistema. Tras instalar el sistema operativo del servidor, los usuarios suelen iniciar sesión manualmente para configurar el sistema e instalar el software deseado. A lo largo de la vida útil del servidor, los usuarios pueden iniciar sesión para realizar actualizaciones de software, aplicar parches, cambiar configuraciones y solucionar problemas.

Sin embargo, el acceso manual plantea una serie de riesgos. Requiere un servidor que escuche las solicitudes, como un servicio SSH o RDP, que pueden proporcionar una ruta potencial para el acceso no autorizado. También aumenta el riesgo de errores humanos asociados con la realización de pasos manuales. Todo esto puede provocar incidentes relacionados con la carga de trabajo, corrupción o destrucción de datos u otros problemas de seguridad. El acceso humano también requiere protecciones contra el uso compartido de credenciales, lo que genera una sobrecarga de administración adicional. 

Para mitigar estos riesgos, puede implementar una solución de acceso remoto basada en agentes, como AWS Systems Manager. AWS Systems Manager Agent (SSM Agent) inicia un canal cifrado y, por lo tanto, no depende de la escucha de solicitudes iniciadas externamente. Tenga en cuenta la posibilidad de configurar el SSM Agent para establecer este canal en un punto de enlace de VPC.

Systems Manager le aporta un control detallado sobre cómo puede interactuar con las instancias administradas. Es usted quien define las automatizaciones que se ejecutarán, quién puede ejecutarlas y cuándo pueden ejecutarse. Systems Manager puede aplicar parches, instalar software y realizar cambios en la configuración sin acceso interactivo a la instancia. Systems Manager también puede proporcionar acceso a un shell remoto y registrar todos los comandos invocados y sus resultados durante la sesión en registros y en Amazon S3. AWS CloudTrail registra las invocaciones de las API de Systems Manager para su inspección.

Pasos para la implementación

  1. Instale el AWS Systems Manager Agent (SSM Agent) en sus instancias de Amazon EC2. Compruebe si el SSM Agent está incluido y se ha iniciado automáticamente como parte de la configuración básica de la AMI.

  2. Compruebe que los roles de IAM asociados a sus perfiles de instancia de EC2 incluyan la política administrada de IAM AmazonSSMManagedInstanceCore.

  3. Inhabilite SSH, RDP y otros servicios de acceso remoto que se ejecuten en sus instancias. Puede hacerlo ejecutando scripts configurados en la sección de datos de usuario de sus plantillas de lanzamiento o creando AMI personalizadas con herramientas como EC2 Image Builder.

  4. Compruebe que las reglas de ingreso de grupos de seguridad aplicables a sus instancias de EC2 no permitan el acceso al puerto 22/tcp (SSH) o al puerto 3389/tcp (RDP). Implemente la detección y las alertas en grupos de seguridad mal configurados mediante servicios como AWS Config.

  5. Defina las automatizaciones, los runbooks y los comandos de ejecución adecuados en Systems Manager. Utilice políticas de IAM para definir quién puede realizar estas acciones y las condiciones en las que están permitidas. Pruebe estas automatizaciones minuciosamente en un entorno que no sea de producción. Invoque estas automatizaciones cuando sea necesario, en lugar de acceder a la instancia de forma interactiva.

  6. Use AWS Systems Manager Session Manager para proporcionar acceso interactivo a las instancias cuando sea necesario. Active el registro de actividad de la sesión para mantener una pista de auditoría en Amazon CloudWatch Logs o Amazon S3

Recursos

Prácticas recomendadas relacionadas:

Ejemplos relacionados:

Herramientas relacionadas:

Vídeos relacionados: