SEC06-BP05 Automatización de la protección informática

Automatice las operaciones de protección informática para reducir la necesidad de intervención humana. Utilice el escaneo automatizado para detectar posibles problemas en sus recursos informáticos y use respuestas programáticas automatizadas u operaciones de administración de flotas para solucionarlos.  Incorpore la automatización en sus procesos de CI/CD para desplegar cargas de trabajo fiables con dependencias actualizadas.

Resultado deseado: usar sistemas automatizados para realizar todos los escaneos y parches de los recursos informáticos. Usar la verificación automática para comprobar que las imágenes y dependencias del software provengan de fuentes confiables y no se hayan manipulado. Las cargas de trabajo se comprueban automáticamente para determinar si las dependencias están actualizadas y se firman para establecer la fiabilidad en los entornos informáticos de AWS.  Las correcciones automatizadas se inician cuando se detectan recursos no conformes con los requisitos. 

Antipatrones usuales:

• Seguir la práctica de una infraestructura inmutable sin contar con una solución para la instalación de parches de emergencia o la sustitución de sistemas de producción.

• Usar la automatización para corregir los recursos mal configurados sin contar con un mecanismo de anulación manual.  Es posible que surjan situaciones en las que necesite ajustar los requisitos y tenga que suspender las automatizaciones hasta haber realizado estos cambios.

Beneficios de establecer esta práctica recomendada: la automatización puede reducir el riesgo de accesos y usos no autorizados de sus recursos informáticos.  Ayuda a evitar que lleguen configuraciones incorrectas a los entornos de producción y a detectarla y corregirlas en caso de que se produzcan.  La automatización también contribuye a detectar el acceso y el uso no autorizados de los recursos informáticos para reducir el tiempo de respuesta.  Esto, a su vez, puede reducir el alcance general del impacto del problema.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

Puede aplicar las automatizaciones descritas en las prácticas del Pilar de seguridad para proteger sus recursos informáticos. En SEC06-BP01 Administración de las vulnerabilidades se describe cómo puede utilizar Amazon Inspector tanto en sus canalizaciones de CI/CD como para analizar continuamente sus entornos de versión ejecutable en busca de vulnerabilidades y exposiciones comunes (CVE) conocidas.  Puede usar AWS Systems Manager para aplicar parches o volver a desplegar imágenes nuevas mediante runbooks automatizados para mantener su flota de computación actualizada con el software y las bibliotecas más recientes.  Utilice estas técnicas para reducir la necesidad de recurrir a procesos manuales y el acceso interactivo a sus recursos informáticos.  Consulte SEC06-BP03 Reducción de la administración manual y el acceso interactivo para obtener más información.

La automatización también desempeña un papel en el despliegue de cargas de trabajo confiables, tal como se describe en SEC06-BP02 Aprovisionamiento informático a partir de imágenes reforzadas y SEC06-BP04 Validación de la integridad del software.  Puede usar servicios como EC2 Image Builder, AWS Signer, AWS CodeArtifact y Amazon Elastic Container Registry (ECR) para descargar, verificar, construir y almacenar dependencias de código e imágenes reforzadas y aprobadas.   Junto con Inspector, cada uno de estos elementos puede desempeñar un papel en su proceso de CI/CD, de modo que su carga de trabajo llegue al entorno de producción solo cuando se confirme que sus dependencias están actualizadas y provienen de fuentes confiables.  La carga de trabajo también está firmada para que los entornos de computación de AWS, como AWS Lambda y Amazon Elastic Kubernetes Service (EKS), puedan verificar que no se ha manipulado antes de permitir su ejecución.

Además de estos controles preventivos, también puede utilizar la automatización en sus controles de detección para sus recursos informáticos.  Por ejemplo, AWS Security Hub ofrece el estándar NIST 800-53 Rev. 5, que incluye comprobaciones como esta: [EC2.8] las instancias de EC2 deben usar la versión 2 del servicio de metadatos de instancia (IMDSv2).  El IMDSv2 utiliza técnicas de autenticación de sesión y bloquea las solicitudes que contienen un encabezado HTTP X-Forwarded-For y un TTL de red de 1 para detener el tráfico que se origina en fuentes externas para recuperar información sobre la instancia de EC2. Esta comprobación en Security Hub puede detectar si las instancias de EC2 utilizan IMDSv1 e iniciar una corrección automática. Obtenga más información sobre la detección y las correcciones automatizadas en SEC04-BP04 Inicio de correcciones para recursos no conformes.

Pasos para la implementación

1. Automatice la creación de AMI seguras, compatibles y reforzadas con EC2 Image Builder.  Puede producir imágenes que incorporen los controles de los estándares comparativos del Center for Internet Security (CIS) o de la Security Technical Implementation Guide (STIG) a partir de imágenes base de AWS e imágenes de socios de APN.

2. Automatice la administración de la configuración. Aplique y valide configuraciones seguras en sus recursos informáticos de forma automática mediante el uso de un servicio o herramienta de gestión de configuraciones. 

   1. Administración automatizada de la configuración con AWS Config

   2. Administración automatizada de la postura de seguridad y cumplimiento mediante AWS Security Hub

3. Automatice la aplicación de parches o el reemplazo de instancias de Amazon Elastic Compute Cloud (Amazon EC2). AWS Systems Manager Patch Manager automatiza el proceso de aplicación de parches a instancias administradas con actualizaciones de seguridad y de otro tipo. Puede utilizar Patch Manager para aplicar revisiones tanto para sistemas operativos como para aplicaciones.

   1. AWS Systems Manager Patch Manager

4. Automatice el análisis de los recursos informáticos en busca de vulnerabilidades y exposiciones comunes (CVE) e incorpore soluciones de análisis de seguridad en su proceso de desarrollo.

   1. Amazon Inspector

   2. Análisis de imágenes de ECR

5. Plantéese el uso de Amazon GuardDuty para detectar amenazas y malware de forma automática con el fin de proteger los recursos informáticos. GuardDuty también puede identificar posibles problemas cuando se invoca una función de AWS Lambda en su entorno de AWS. 

   1. Amazon GuardDuty

6. Tenga en cuenta las soluciones de socios de AWS. Los socios de AWS ofrecen cientos de productos destacados que son equivalentes o idénticos a los controles que ya utiliza en sus entornos locales o que pueden integrarse con ellos. Estos productos complementan a los servicios de AWS existentes y le permiten desplegar una arquitectura de seguridad integral, así como disfrutar de una experiencia más fluida tanto en la nube como en los entornos locales.

   1. Seguridad de la infraestructura

Recursos

Prácticas recomendadas relacionadas:

• SEC01-BP06 Automatización del despliegue de controles de seguridad estándares

Documentos relacionados:

• Get the full benefits of IMDSv2 and disable IMDSv1 across your AWS infrastructure

Vídeos relacionados:

• Security best practices for the Amazon EC2 instance metadata service