AWS CloudTrail

AWS CloudTrail es un servicio que permite la gobernanza, el cumplimiento, la auditoría operativa y la auditoría de riesgos de las cuentas de AWS. Con ello CloudTrail, los clientes pueden registrar, supervisar de forma continua y conservar la actividad de la cuenta relacionada con las acciones en toda su infraestructura de AWS. CloudTrail proporciona el historial de eventos de la actividad de sus cuentas de AWS, incluidas las acciones realizadas a través de los SDK de AWS AWS Management Console, las herramientas de línea de comandos y otros servicios de AWS. Este historial de eventos simplifica el análisis de seguridad, el seguimiento de los cambios en los recursos y la solución de problemas.

AWS CloudTrail está habilitado para su uso con todas las cuentas de AWS y se puede usar para el registro de auditorías, según lo exige la BAA de AWS. Las rutas específicas se deben crear mediante la CloudTrail consola o la interfaz de línea de comandos de AWS. CloudTrail cifra todo el tráfico en tránsito y en reposo cuando se crea una ruta cifrada. Se debe crear un registro cifrado cuando exista la posibilidad de registrar la PHI.

De forma predeterminada, un Trail cifrado almacena las entradas en Amazon S3 mediante el cifrado del lado del servidor con claves administradas por Amazon S3 (SSE-S3). Si se desea una administración adicional de las claves, también se puede configurar con claves AWS KMS administradas (SSE-KMS). Como CloudTrail es el destino final de las entradas de registro de AWS y, por lo tanto, un componente fundamental de cualquier arquitectura que gestione la PHI, la validación de la integridad de los archivos de CloudTrail registro debe estar habilitada y los archivos de CloudTrail resumen asociados deben revisarse periódicamente. Una vez habilitada, se puede establecer una afirmación positiva de que los archivos de registro no se han modificado ni alterado.