SEC01-BP05 Reducción del alcance de la administración de la seguridad - AWS Well-Architected Framework
Guía para la implementaciónRecursos

SEC01-BP05 Reducción del alcance de la administración de la seguridad

Determine si puede reducir el alcance de la seguridad mediante el uso de servicios de AWS que transfieran la administración de ciertos controles a AWS (servicios administrados). Estos servicios pueden ayudar a reducir las tareas de mantenimiento de la seguridad, como el aprovisionamiento de infraestructuras, la configuración del software, la aplicación de parches o las copias de seguridad.

Resultado deseado: tener en cuenta el alcance de la administración de seguridad al seleccionar los servicios de AWS para su carga de trabajo. Comparar el coste de los gastos generales de administración y las tareas de mantenimiento (el coste total de propiedad o TCO) con el coste de los servicios que seleccione, además de otras consideraciones relacionadas con el marco Well-Architected. Incorporar la documentación de control y cumplimiento de AWS en sus procedimientos de evaluación y verificación del control.

Antipatrones usuales:

  • Desplegar cargas de trabajo sin comprender a fondo el modelo de responsabilidad compartida para los servicios que seleccione.

  • Alojar bases de datos y otras tecnologías en máquinas virtuales sin haber evaluado un servicio administrado equivalente.

  • No incluir las tareas de administración de la seguridad en el coste total de propiedad de las tecnologías de alojamiento en máquinas virtuales en comparación con las opciones de servicios administrados.

Beneficios de establecer esta práctica recomendada: el uso de servicios administrados puede reducir la carga general que supone administrar los controles de la seguridad operativa, lo que puede reducir los riesgos de seguridad y el coste total de propiedad. El tiempo que de otro modo se dedicaría a determinadas tareas de seguridad puede reinvertirse en tareas que aporten más valor a la empresa. Los servicios administrados también pueden reducir el alcance de sus requisitos de cumplimiento al trasladar algunos requisitos de control a AWS.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

Hay varias formas en las que puede integrar los componentes de su carga de trabajo en AWS. La instalación y ejecución de tecnologías en instancias de Amazon EC2 suele requerir que asuma la mayor parte de la responsabilidad general sobre la seguridad. Para ayudar a reducir la carga de poner en práctica ciertos controles, identifique los servicios administrados de AWS que reduzcan su ámbito de responsabilidad en el modelo de responsabilidad compartida y piense en cómo puede utilizarlos en su arquitectura actual. Por ejemplo, puede utilizar Amazon Relational Database Service (Amazon RDS) para desplegar bases de datos, Amazon Elastic Kubernetes Service (Amazon EKS) o Amazon Elastic Container Service (Amazon ECS) para organizar contenedores o también utilizar opciones sin servidor. Al desarrollar nuevas aplicaciones, piense en qué servicios pueden ayudar a reducir el tiempo y el coste a la hora de implementar y administrar los controles de seguridad.

Los requisitos de cumplimiento también pueden ser un factor determinante a la hora de seleccionar los servicios. Los servicios administrados pueden trasladar la responsabilidad del cumplimiento de algunos requisitos a AWS. Hable con su equipo de cumplimiento sobre si se sentirían cómodos al auditar los aspectos de los servicios que opera y administra y al aceptar las declaraciones de control en los informes de auditoría de AWS pertinentes. Puede proporcionar los artefactos de auditoría que se encuentran en AWS Artifact a sus auditores o reguladores como prueba de los controles de seguridad de AWS. También puede utilizar la guía de responsabilidad que proporcionan algunos de los artefactos de auditoría de AWS para diseñar su arquitectura, junto con las AWS Customer Compliance Guides. Esta guía ayuda a determinar los controles de seguridad adicionales que debe poner en práctica para permitir los casos de uso específicos de su sistema.

Cuando utilice servicios administrados, debe familiarizarse con el proceso de actualización de sus recursos a versiones más recientes (por ejemplo, actualizar la versión de una base de datos administrada por Amazon RDS o la versión ejecutable de un lenguaje de programación para una función de AWS Lambda). Si bien el servicio administrado puede realizar esta operación por usted, sigue siendo su responsabilidad configurar el momento de la actualización y comprender el impacto en sus operaciones. Herramientas como AWS Health pueden ayudarle a rastrear y administrar estas actualizaciones en todos sus entornos.

Pasos para la implementación

  1. Evalúe los componentes de su carga de trabajo que puedan sustituirse por un servicio administrado.

    1. Si está migrando una carga de trabajo a AWS, tenga en cuenta la simplificación de la administración (tiempo y gastos) y la reducción del riesgo al evaluar si debe realojar, refactorizar, redefinir la plataforma, reconstruir o reemplazar la carga de trabajo. A veces, la inversión adicional al inicio de una migración puede generar ahorros significativos a largo plazo.

  2. Considere la posibilidad de implementar servicios administrados, como Amazon RDS, en lugar de instalar y administrar sus propios despliegues tecnológicos.

  3. Utilice la guía de responsabilidades de AWS Artifact para determinar los controles de seguridad que debe poner en práctica para su carga de trabajo.

  4. Mantenga un inventario de los recursos que se están utilizando y manténgase al día de los nuevos servicios y enfoques para identificar nuevas oportunidades y reducir el alcance.

Recursos

Prácticas recomendadas relacionadas:

Documentos relacionados:

Herramientas relacionadas:

Vídeos relacionados: