Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
SEC05-BP04 Automatice la protección de la red
Automatice la implementación de las protecciones de su red mediante DevOps prácticas como la infraestructura como código (IaC) y las canalizaciones de CI/CD. Estas prácticas pueden ayudarle a hacer un seguimiento de los cambios en las protecciones de la red a través de un sistema de control de versiones, a reducir el tiempo necesario para implementar los cambios y a detectar si las protecciones de la red se desvían de la configuración deseada.
Resultado deseado: defina las protecciones de red con plantillas y confirmarlas en un sistema de control de versiones. Las canalizaciones automatizadas se inician cuando se hacen nuevos cambios que sirvan para organizar sus pruebas e implementación. Dispone de comprobaciones de políticas y otras pruebas estáticas para validar los cambios antes de la implementación. Implementa los cambios en un entorno provisional para validar que los controles funcionen según lo esperado. También implementa en sus entornos de producción automáticamente una vez que se aprueben los controles.
Patrones comunes de uso no recomendados:
-
Confiar en que los equipos de cada carga de trabajo definan individualmente toda su pila de red, sus protecciones y sus automatizaciones. No publicar los aspectos estándares de la pila de red y las protecciones de forma centralizada para que los consuman los equipos de carga de trabajo.
-
Confiar en un equipo de red central para definir todos los aspectos de la red, las protecciones y las automatizaciones. No delegar los aspectos específicos de la carga de trabajo de la pila de red y las protecciones al equipo de esa carga de trabajo.
-
Lograr el equilibrio adecuado entre la centralización y la delegación entre un equipo de red y los equipos de las cargas de trabajo, pero no aplicar estándares de prueba e implementación uniformes en todas las plantillas de IaC y las canalizaciones de CI/CD. No recoger las configuraciones requeridas en herramientas que comprueben si las plantillas se ajustan a dichas configuraciones.
Beneficios de establecer esta práctica recomendada: el uso de plantillas para definir las protecciones de la red le permite hacer un seguimiento y comparar los cambios a lo largo del tiempo con un sistema de control de versiones. El uso de la automatización para probar e implementar los cambios crea estandarización y previsibilidad, lo que aumenta las posibilidades de que la implementación tenga éxito y reduce las configuraciones manuales repetitivas.
Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio
Guía para la implementación
Una serie de controles de protección de la red descritos en SEC05-BP02 Controle el tráfico dentro de las capas de la red y SEC05-BP03 Implemente una protección basada en la inspección e incluya sistemas de reglas gestionadas que se pueden actualizar automáticamente en función de la información sobre amenazas más reciente. Entre los ejemplos de cómo proteger los puntos finales de la web se incluyen las reglas gestionadas y la mitigación automática de la capa de aplicaciones.AWS WAFAWS Shield Advanced DDoS Utilice los grupos de reglas administradas de AWS Network Firewall para mantenerse al día de las listas de dominios de baja reputación y las firmas de amenazas.
Además de las reglas administradas, le recomendamos que utilice DevOps prácticas para automatizar la implementación de los recursos de su red, las protecciones y las reglas que especifique. Puede plasmar estas definiciones en AWS CloudFormation
En función de las decisiones que haya tomado como parte de SEC05-BP01 Create Network Layers, es posible VPCs que opte por un enfoque de administración central dedicado a los flujos de entrada, salida e inspección. Como se describe en la arquitectura AWS de referencia de seguridad (AWS SRA), puede definirlas VPCs en una cuenta de infraestructura de red dedicada. Puede utilizar técnicas similares para definir de forma centralizada lo que VPCs utilizan sus cargas de trabajo en otras cuentas, sus grupos de seguridad, sus AWS Network Firewall despliegues, las reglas de Route 53 Resolver y las configuraciones de DNS firewall, así como otros recursos de red. Puede compartir estos recursos con sus demás cuentas mediante AWS Resource Access Manager. Con este enfoque, puede simplificar las pruebas automatizadas y la implementación de los controles de red en la cuenta de red, y solo tendrá un destino que administrar. Puede hacerlo en un modelo híbrido, en el que implementa y comparte ciertos controles de forma centralizada y delega otros controles a los equipos de carga de trabajo individuales y a sus respectivas cuentas.
Pasos para la implementación
-
Determine qué aspectos de la red y qué protecciones se definen de forma centralizada y cuáles pueden mantener sus equipos de carga de trabajo.
-
Cree entornos para probar e implementar cambios en su red y sus protecciones. Por ejemplo, utilice una cuenta de pruebas de red y una cuenta de producción de red.
-
Determine cómo va a almacenar y mantener las plantillas en un sistema de control de versiones. Almacene las plantillas centrales en un repositorio distinto de los repositorios de carga de trabajo; las plantillas de carga de trabajo se pueden almacenar en repositorios específicos para esa carga de trabajo.
-
Cree canalizaciones de CI/CD para probar e implementar plantillas. Defina pruebas para comprobar si hay errores de configuración y si las plantillas se ajustan a los estándares de su empresa.
Recursos
Prácticas recomendadas relacionadas:
Documentos relacionados:
Ejemplos relacionados:
Herramientas relacionadas:
