Detección
La detección consta de dos partes: la detección de cambios de configuración inesperados o no deseados y la detección de comportamientos inesperados. La primera puede tener lugar en varios lugares del ciclo de vida de entrega de una aplicación. Al utilizar la infraestructura como código (por ejemplo, una plantilla de CloudFormation), puede comprobar si hay configuraciones no deseadas antes de implementar una carga de trabajo mediante la aplicación de comprobaciones en las canalizaciones de CI/CD o en el control de origen. A continuación, a medida que implementa una carga de trabajo en entornos de producción y que no son de producción, puede comprobar la configuración mediante herramientas nativas de AWS, de código abierto o de socios de AWS. Estas comprobaciones pueden ser para una configuración que no cumpla con los principios de seguridad o las prácticas recomendadas, o para los cambios que se hicieron entre una configuración probada y una implementada. En el caso de una aplicación en ejecución, puede comprobar si la configuración se ha modificado de forma inesperada, incluso fuera de una implementación conocida o un evento de escalado automatizado.
Para la segunda parte de la detección (comportamiento inesperado), puede utilizar herramientas o emitir alertas cuando se produzca un aumento en un tipo concreto de llamada a la API. Con Amazon GuardDuty, puede recibir alertas cuando se produzcan actividades inesperadas, malintencionadas o potencialmente no autorizadas en sus cuentas de AWS. También debe supervisar de forma explícita las llamadas a la API mutantes que no esperaría que se utilizaran en su carga de trabajo y las llamadas a la API que cambien la posición de seguridad.
La detección le permite identificar un posible error de configuración de seguridad, una amenaza o un comportamiento inesperado. Es una parte fundamental del ciclo de vida de seguridad y se puede usar como complemento de procesos de calidad, para una obligación legal o de conformidad y para la identificación de amenazas y respuestas. Existen diferentes tipos de mecanismos de detección. Por ejemplo, los registros de su carga de trabajo se pueden analizar para detectar las vulnerabilidades que se estén utilizando. Debe revisar periódicamente los mecanismos de detección relacionados con su carga de trabajo para asegurarse de que cumpla con las políticas y los requisitos internos y externos. Las alertas y notificaciones automatizadas deben basarse en condiciones definidas para que sus equipos o herramientas puedan investigar la situación. Estos mecanismos son factores reactivos importantes que ayudan a su organización a identificar la actividad anómala y comprender sus repercusiones.
En AWS, hay varios métodos que puede utilizar para abordar los mecanismos de detección. En las siguientes secciones se describe cómo se usan estos métodos:
Prácticas recomendadas
