SEC01-BP01 Separar cargas de trabajo utilizando cuentas

Establezca barreras de protección y medidas de aislamiento comunes entre los entornos (por ejemplo, producción, desarrollo y pruebas) y las cargas de trabajo mediante una estrategia de varias cuentas. Es muy recomendable que la separación se realice a nivel de cuenta, ya que así se consigue una barrera de aislamiento sólida para gestionar la seguridad, la facturación y el acceso.

Resultado deseado: una estructura de cuentas que aísle las operaciones en la nube, las cargas de trabajo no relacionadas y los entornos en cuentas separadas para aumentar la seguridad en toda la infraestructura en la nube.

Antipatrones usuales:

• Colocar en la misma cuenta varias cargas de trabajo no relacionadas con diferentes niveles de confidencialidad de los datos.

• Estructura de la unidad organizativa (OU) mal definida.

Beneficios de establecer esta práctica recomendada:

• Menor alcance del impacto si se accede inadvertidamente a una carga de trabajo

• Gobernanza central del acceso a los servicios, recursos y regiones de AWS.

• Mantenimiento de la seguridad de la infraestructura en la nube con políticas y una administración centralizada de los servicios de seguridad

• Proceso automatizado de creación y mantenimiento de las cuentas

• Auditoría centralizada de la infraestructura para los requisitos de conformidad y reglamentarios

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

Las Cuentas de AWS proporcionan una barrera de aislamiento de seguridad entre cargas de trabajo o recursos que operan con distintos niveles de confidencialidad. AWS ofrece herramientas para administrar sus cargas de trabajo en la nube a escala mediante una estrategia de varias cuentas para aprovechar esta barrera de aislamiento. Para obtener orientación sobre los conceptos, los patrones y la implementación de una estrategia de varias cuentas en AWS, consulte Organizing Your AWS Environment Using Multiple Accounts (Organización del entorno de AWS utilizando varias cuentas).

Cuando tenga varias Cuentas de AWS con una administración central, sus cuentas deben organizarse en una jerarquía definida por capas de unidades organizativas (OU). Luego, pueden organizarse y aplicarse controles de seguridad a las OU y a las cuentas miembro mediante el establecimiento de controles preventivos uniformes en las cuentas miembros de la organización. Los controles de seguridad se heredan, lo que permite filtrar los permisos disponibles para las cuentas miembros situadas en niveles inferiores de una jerarquía de OU. Un buen diseño aprovecha esta herencia para reducir el número y la complejidad de las políticas de seguridad necesarias para lograr los controles de seguridad deseados para cada cuenta miembro.

AWS Organizations y AWS Control Tower son dos de los servicios que puede utilizar para implementar y administrar esta estructura de varias cuentas en su entorno de AWS. AWS Organizations le permite organizar las cuentas en una jerarquía definida por una o varias capas de OU, en la que cada OU contiene una serie de cuentas miembro. Las políticas de control de servicios (SCP) permiten al administrador de la organización establecer controles preventivos detallados en las cuentas miembros y AWS Config puede utilizarse para establecer controles proactivos y de detección en las cuentas miembro. Muchos servicios de AWS se integran con AWS Organizations para proporcionar controles administrativos delegados y realizar tareas específicas del servicio en todas las cuentas miembros de la organización.

Por encima de AWS Organizations, AWS Control Tower proporciona una configuración recomendada de un solo clic para un entorno de AWS de varias cuentas con una zona de aterrizaje. La zona de aterrizaje es el punto de entrada al entorno de varias cuentas que se establece por medio de Control Tower. Control Tower tiene varias ventajas con respecto a AWS Organizations. Estas son tres ventajas que mejoran la gobernanza de las cuentas:

• Barreras de protección de seguridad obligatorias integradas que se aplican automáticamente a las cuentas que se admiten en la organización.

• Barreras de protección opcionales que pueden activarse o desactivarse para un conjunto determinado de OU.

• AWS Control Tower Account Factory proporciona un despliegue automatizado de cuentas que contienen bases de referencia y opciones de configuración preaprobadas dentro de su organización.

Pasos para la implementación

1. Diseñe una estructura de unidades organizativas: si la estructura de unidades organizativas está diseñada correctamente, se reduce la carga administrativa necesaria para crear y mantener las políticas de control de los servicios y otros controles de seguridad. La estructura de su unidad organizativa debe ajustarse a sus necesidades empresariales, la confidencialidad de los datos y la estructura de la carga de trabajo.

2. Cree una zona de aterrizaje para su entorno de varias cuentas: una zona de aterrizaje proporciona una base de seguridad e infraestructura uniforme desde la que su organización puede desarrollar, iniciar y desplegar cargas de trabajo rápidamente. Puede utilizar una zona de aterrizaje personalizada o AWS Control Tower para organizar su entorno.

3. Establezca barreras de protección: implemente barreras de protección de seguridad uniformes para su entorno en toda su zona de aterrizaje. AWS Control Tower proporciona una lista de controles obligatorios y opcionales que pueden desplegarse. Los controles obligatorios se despliegan automáticamente al implementar Control Tower. Revise la lista de los controles más recomendables y opcionales, e implemente los controles que sean adecuados a sus necesidades.

4. Restrinja el acceso a las regiones añadidas recientemente: para las nuevas Regiones de AWS, los recursos de IAM, como los usuarios y los roles, solo se propagan a las regiones que especifique. Esta acción puede realizarse a través de la consola cuando se utiliza Control Tower o ajustando las políticas de permisos de IAM en AWS Organizations.

5. Considere la posibilidad de usar AWS CloudFormation StackSets: StackSets le ayuda a desplegar recursos como políticas, roles y grupos de IAM en diferentes regiones y Cuentas de AWS a partir de una plantilla aprobada.

Recursos

Prácticas recomendadas relacionadas:

• SEC02-BP04 Recurrir a un proveedor de identidades centralizado

Documentos relacionados:

• AWS Control Tower

• AWS Security Audit Guidelines (Directivas de auditoría de seguridad de AWS)

• Prácticas recomendadas de seguridad en IAM

• Use CloudFormation StackSets to provision resources across multiple Cuentas de AWS and regions (Utilice CloudFormation StackSets para aprovisionar recursos en varias cuentas y regiones de AWS)

• Preguntas frecuentes de AWS Organizations

• Terminología y conceptos de AWS Organizations

• Best Practices for AWS Organizations Service Control Policies in a Multi-Account Environment (Prácticas recomendadas para las políticas de control de servicios de AWS Organizations en un entorno de varias cuentas)

• AWS Account Management Reference Guide (Guía de referencia para la administración de cuentas de AWS)

• Organización de su entorno de AWS mediante varias cuentas

Vídeos relacionados:

• Enable AWS adoption at scale with automation and governance (Facilitar la adopción de AWS a escala con la automatización y la gobernanza)

• Security Best Practices the Well-Architected Way (Prácticas recomendadas de seguridad al estilo de Well-Architected)

• Building and Governing Multiple Accounts using AWS Control Tower (Creación y administración de varias cuentas mediante Control Tower)

• Enable Control Tower for Existing Organizations (Habilitar Control Tower para las organizaciones existentes)

Talleres relacionados:

• Control Tower Immersion Day (Día de inmersión en Control Tower)