AWS Security, Identity, and Compliance category icon Seguridad, identidad y cumplimiento - Descripción general de Amazon Web Services
Amazon CognitoAmazon DetectiveAmazon GuardDutyAmazon InspectorAmazon MacieAmazon Security LakeAmazon Verified PermissionsAWS ArtifactAWS Audit ManagerAWS Certificate ManagerAWS CloudHSMAWS Directory ServiceAWS Firewall ManagerAWS Identity and Access ManagementAWS Key Management ServiceAWS Network FirewallAWS Resource Access ManagerAWS Secrets ManagerAWS Security HubAWS ShieldAWS IAM Identity CenterAWS WAFAWS WAF Captcha

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Security, Identity, and Compliance category icon Seguridad, identidad y cumplimiento

Amazon Cognito

Amazon Cognito le permite añadir el registro, el inicio de sesión y el control de acceso de los usuarios a sus aplicaciones web y móviles de forma rápida y sencilla. Con Amazon Cognito, puede ampliarse a millones de usuarios y admite el inicio de sesión con proveedores de identidad social como Apple, Facebook, Twitter o Amazon, con soluciones de identidad SAML 2.0 o mediante su propio sistema de identidad.

Además, Amazon Cognito le permite guardar datos de forma local en los dispositivos de los usuarios, lo que permite que sus aplicaciones funcionen incluso cuando los dispositivos están fuera de línea. A continuación, puede sincronizar los datos entre los dispositivos de los usuarios para que su experiencia con las aplicaciones siga siendo uniforme, independientemente del dispositivo que utilicen.

Con Amazon Cognito, puede centrarse en crear experiencias excelentes de uso de las aplicaciones en lugar de preocuparse de crear, proteger y escalar una solución que se ocupe de la administración y autenticación de los usuarios, y de la sincronización entre dispositivos.

Amazon Detective

Amazon Detective facilita el análisis, la investigación y la identificación rápida de la causa raíz de posibles problemas de seguridad o actividades sospechosas. Amazon Detective recopila automáticamente los datos de registro de sus AWS recursos y utiliza el aprendizaje automático, el análisis estadístico y la teoría de grafos para crear un conjunto de datos enlazados que le permita llevar a cabo fácilmente investigaciones de seguridad más rápidas y eficientes. Amazon Detective simplifica aún más la administración de cuentas para las operaciones de seguridad y las investigaciones en todas las cuentas existentes y futuras de una organización, utilizando AWS Organizations hasta 1200 AWS cuentas.

AWS los servicios de seguridad como Amazon GuardDuty, Amazon Macie y AWS Security Hub, así como los productos de seguridad de los socios, se pueden utilizar para identificar posibles problemas de seguridad o hallazgos. Estos servicios son muy útiles para avisarle cuando y cuando se produzca un posible acceso no autorizado o un comportamiento sospechoso en su AWS despliegue. Sin embargo, a veces hay problemas de seguridad que le gustaría investigar más a fondo los eventos que los llevaron a detectarlos para corregir la causa raíz. Determinar la causa raíz de los hallazgos de seguridad puede ser un proceso complejo para los analistas de seguridad, que a menudo implica recopilar y combinar registros de muchas fuentes de datos, utilizar herramientas de extracción, transformación y carga (ETL) y secuencias de comandos personalizadas para organizar los datos.

Amazon Detective simplifica este proceso al permitir a sus equipos de seguridad investigar con facilidad y llegar rápidamente a la causa raíz de un hallazgo. El Detective puede analizar billones de eventos de varias fuentes de datos, como Amazon Virtual Private Cloud (VPC) Flow Logs (VPC) y Amazon. AWS CloudTrail GuardDuty Detective utiliza estos eventos para crear automáticamente una vista unificada e interactiva de sus recursos, usuarios y las interacciones entre ellos a lo largo del tiempo. Con esta vista unificada, puede visualizar todos los detalles y el contexto en un solo lugar para identificar las razones subyacentes de los hallazgos, profundizar en las actividades históricas relevantes y determinar rápidamente la causa raíz.

Puede empezar a utilizar Amazon Detective con solo unos pocos clics en el AWS Management Console. No es necesario implementar ningún software ni habilitar ni mantener fuentes de datos. Puedes probar Detective sin coste adicional con una prueba gratuita de 30 días que está disponible para cuentas nuevas.

Amazon GuardDuty

Amazon GuardDuty es un servicio de detección de amenazas que monitorea continuamente la actividad maliciosa y el comportamiento anómalo para proteger sus cargas de trabajo Cuentas de AWS, sus clústeres de Kubernetes y los datos almacenados en Amazon Simple Storage Service (Amazon S3). El GuardDuty servicio monitorea actividades tales como llamadas inusuales a la API, despliegues no autorizados y credenciales filtradas que indiquen la posibilidad de que la cuenta haya sido detectada o comprometida.

Habilitado con unos pocos clics AWS Management Console y fácilmente administrado en toda la organización con su apoyo, AWS Organizations Amazon GuardDuty puede empezar inmediatamente a analizar miles de millones de eventos en sus AWS cuentas en busca de señales de uso no autorizado. GuardDuty identifica a los posibles atacantes mediante fuentes integradas de inteligencia sobre amenazas y la detección de anomalías mediante aprendizaje automático para detectar anomalías en la actividad de las cuentas y la carga de trabajo. Cuando se detecta un posible uso no autorizado, el servicio envía un hallazgo detallado a la GuardDuty consola, Amazon CloudWatch Events y AWS Security Hub. Esto hace que los hallazgos sean procesables y fáciles de integrar en los sistemas de flujo de trabajo y gestión de eventos existentes. Si se utiliza Amazon Detective directamente desde la GuardDuty consola, es fácil investigar más a fondo para determinar la causa raíz de un hallazgo.

Amazon GuardDuty es rentable y fácil de operar. No es necesario implementar ni mantener el software o la infraestructura de seguridad, lo que significa que se puede habilitar rápidamente sin riesgo de afectar negativamente a las cargas de trabajo existentes de las aplicaciones y los contenedores. No hay costes iniciales GuardDuty, no es necesario implementar software ni disponer de fuentes de inteligencia sobre amenazas. Además, GuardDuty optimiza los costes aplicando filtros inteligentes y analizando solo un subconjunto de registros relevantes para la detección de amenazas, y las nuevas GuardDuty cuentas de Amazon son gratuitas durante 30 días.

Amazon Inspector

Amazon Inspector es un nuevo servicio automatizado de administración de vulnerabilidades que analiza continuamente AWS las cargas de trabajo en busca de vulnerabilidades de software y exposición no intencionada a la red. Con unos pocos clics AWS Organizations, Amazon Inspector se puede utilizar en todas las cuentas de su organización. AWS Management Console Una vez iniciado, Amazon Inspector descubre automáticamente las instancias de Amazon Elastic Compute Cloud (Amazon EC2) y las imágenes de contenedores que se encuentran en Amazon Elastic Container Registry (Amazon ECR) en ejecución, a cualquier escala, e inmediatamente comienza a evaluarlas para detectar vulnerabilidades conocidas.

Amazon Inspector presenta muchas mejoras con respecto a Amazon Inspector Classic. Por ejemplo, el nuevo Amazon Inspector calcula una puntuación de riesgo altamente contextualizada para cada hallazgo al correlacionar la información sobre vulnerabilidades y exposiciones comunes (CVE) con factores como el acceso a la red y la explotabilidad. Esta puntuación se utiliza para priorizar las vulnerabilidades más críticas a fin de mejorar la eficacia de la respuesta correctiva. Además, Amazon Inspector ahora usa el AWS Systems Manager agente ampliamente desplegado (SSM Agent) para eliminar la necesidad de implementar y mantener un agente independiente para ejecutar las evaluaciones de instancias de Amazon EC2. Para las cargas de trabajo de contenedores, Amazon Inspector ahora está integrado con Amazon Elastic Container Registry (Amazon ECR) para permitir evaluaciones de vulnerabilidad inteligentes, rentables y continuas de las imágenes de contenedores. Todos los resultados se agrupan en la consola de Amazon Inspector, se envían a Amazon y se AWS Security Hub envían a través de él EventBridge para automatizar flujos de trabajo como la venta de entradas.

Todas las cuentas nuevas en Amazon Inspector pueden disfrutar de una prueba gratuita de 15 días para evaluar el servicio y estimar su coste. Durante la prueba, todas las instancias de Amazon EC2 aptas y las imágenes de contenedores enviadas a Amazon ECR se escanean continuamente sin coste alguno.

Amazon Macie

Amazon Macie es un servicio de seguridad y privacidad de datos totalmente gestionado que utiliza evaluaciones de inventario, aprendizaje automático y coincidencia de patrones para descubrir datos confidenciales y la accesibilidad en su entorno Amazon S3. Macie admite tareas de descubrimiento de datos confidenciales automatizadas y escalables, bajo demanda, que rastrean automáticamente los cambios en el depósito y solo evalúan los objetos nuevos o modificados a lo largo del tiempo. Con Macie, puede detectar una lista amplia y creciente de tipos de datos confidenciales en muchos países y regiones, incluidos varios tipos de datos financieros, información de salud personal (PHI) e información de identificación personal (PII), así como tipos personalizados. Macie también evalúa continuamente su entorno Amazon S3 para ofrecer un resumen de los recursos de S3 y una evaluación de la seguridad de todas sus cuentas. Puede buscar, filtrar y ordenar los depósitos de S3 por variables de metadatos, como los nombres de los cubos, las etiquetas y los controles de seguridad, como el estado del cifrado o la accesibilidad pública. En el caso de los depósitos no cifrados, los de acceso público o los que se compartan con personas Cuentas de AWS ajenas a las que haya definido AWS Organizations, puede recibir una alerta para que actúes.

En la configuración multicuenta, una sola cuenta de administrador de Macie puede gestionar todas las cuentas de los miembros, incluida la creación y administración de tareas de descubrimiento de datos confidenciales en todas las cuentas. AWS Organizations Los resultados del descubrimiento de datos confidenciales y de seguridad se agregan a la cuenta de administrador de Macie y se envían a Amazon CloudWatch Events y AWS Security Hub. Ahora, con una sola cuenta, puede integrarla con los sistemas de gestión de eventos, flujo de trabajo y venta de entradas o utilizar los hallazgos de Macie AWS Step Functions para automatizar las acciones correctivas. Puede empezar a utilizar Macie rápidamente gracias a la versión de prueba de 30 días disponible para las nuevas cuentas, que permite evaluar el inventario de paquetes de S3 y la evaluación a nivel de cada uno de ellos sin coste alguno. El descubrimiento de datos confidenciales no está incluido en la versión de prueba de 30 días para la evaluación de los paquetes.

Amazon Security Lake

Amazon Security Lake centraliza los datos de seguridad de los AWS entornos, los proveedores de SaaS, las instalaciones y las fuentes en la nube en un lago de datos diseñado específicamente que se almacena en su servidor. Cuenta de AWS Security Lake automatiza la recopilación y la administración de los datos de seguridad en todas las cuentas Regiones de AWS para que pueda usar sus herramientas de análisis preferidas y, al mismo tiempo, conservar el control y la propiedad de sus datos de seguridad. Con Security Lake, también puede mejorar la protección de sus cargas de trabajo, aplicaciones y datos.

Security Lake automatiza la recopilación de datos de registros y eventos relacionados con la seguridad procedentes de AWS servicios integrados y servicios de terceros. También le ayuda a gestionar el ciclo de vida de los datos con una configuración de retención personalizable. El lago de datos está respaldado por depósitos de Amazon S3 y usted conserva la propiedad de sus datos. Security Lake convierte los datos ingeridos al formato Apache Parquet y a un esquema estándar de código abierto denominado Open Cybersecurity Schema Framework (OCSF). Gracias a la compatibilidad con OCSF, Security Lake normaliza y combina los datos de seguridad procedentes de AWS una amplia gama de fuentes de datos de seguridad empresariales.

Otros AWS servicios y servicios de terceros pueden suscribirse a los datos almacenados en Security Lake para responder a incidentes y analizar los datos de seguridad.

Amazon Verified Permissions

Amazon Verified Permissions es un servicio de autorización y administración de permisos escalable y detallado para las aplicaciones personalizadas que ha creado. Verified Permissions permite a sus desarrolladores crear aplicaciones seguras con mayor rapidez al externalizar la autorización y centralizar la gestión y la administración de las políticas.

Verified Permissions utiliza Cedar, un lenguaje de políticas y un SDK de código abierto, para definir los permisos detallados para los usuarios de las aplicaciones. Su modelo de autorización se define mediante los tipos principales, los tipos de recursos y las acciones válidas, para controlar quién puede realizar qué acciones con qué recursos en un contexto de aplicación determinado. Los cambios en las políticas se auditan para que pueda ver quién los realizó y cuándo.

AWS Artifact

AWS Artifactes su recurso central y de referencia para obtener la información relacionada con el cumplimiento que le interesa. Proporciona acceso bajo demanda a los informes de AWS seguridad y cumplimiento y a determinados acuerdos en línea. Los informes disponibles AWS Artifact incluyen nuestros informes de control organizativo de servicios (SOC), informes del sector de tarjetas de pago (PCI) y certificaciones de organismos de acreditación de diferentes geografías y sectores de cumplimiento que validan la implementación y la eficacia operativa de los controles de seguridad. AWS Los acuerdos disponibles AWS Artifact incluyen el apéndice para socios comerciales (BAA) y el acuerdo de confidencialidad (NDA).

AWS Audit Manager

AWS Audit Managerle ayuda a auditar continuamente su AWS consumo para simplificar la evaluación del riesgo y el cumplimiento de las normativas y los estándares del sector. Audit Manager automatiza la recopilación de pruebas para reducir el esfuerzo manual «práctico» que suele realizarse en las auditorías y le permite ampliar su capacidad de auditoría en la nube a medida que su empresa crece. Con Audit Manager, es fácil evaluar si sus políticas, procedimientos y actividades (también conocidos como controles) funcionan de manera eficaz. Cuando llega el momento de realizar una auditoría, le AWS Audit Manager ayuda a gestionar las revisiones de sus controles por parte de las partes interesadas y le permite crear informes listos para la auditoría con mucho menos esfuerzo manual.

Los marcos AWS Audit Manager prediseñados ayudan a traducir la evidencia de los servicios en la nube en informes fáciles de usar para los auditores al asignar sus AWS recursos a los requisitos de las normas o regulaciones del sector, como el CIS AWS Foundations Benchmark, el Reglamento general de protección de datos (GDPR) y el estándar de seguridad de datos del sector de tarjetas de pago (PCI DSS). También puede personalizar completamente un marco y sus controles para adaptarlo a sus requisitos empresariales específicos. Según el marco que seleccione, Audit Manager lanza una evaluación que recopila y organiza continuamente las pruebas relevantes de sus AWS cuentas y recursos, como las instantáneas de la configuración de los recursos, la actividad de los usuarios y los resultados de las comprobaciones de conformidad.

Puede empezar rápidamente en el AWS Management Console. Simplemente seleccione un marco prediseñado para iniciar una evaluación y comenzar a recopilar y organizar automáticamente las pruebas.

AWS Certificate Manager

AWS Certificate Manageres un servicio que le permite aprovisionar, administrar e implementar fácilmente certificados Secure Sockets Layer/Transport Layer Security (SSL/TLS) para usarlos con los servicios y sus recursos internos conectados. AWS Los certificados SSL/TLS se utilizan para proteger las comunicaciones de red y establecer la identidad de los sitios web a través de Internet, así como de los recursos de las redes privadas. AWS Certificate Manager elimina el lento proceso manual de compra, carga y renovación de los certificados SSL/TLS.

Con él AWS Certificate Manager, puede solicitar rápidamente un certificado, implementarlo en AWS recursos integrados con ACM, como Elastic Load Balancing, CloudFront las distribuciones de Amazon y las API de API Gateway, y dejar que se AWS Certificate Manager encargue de las renovaciones de los certificados. También le permite crear certificados privados para sus recursos internos y gestionar el ciclo de vida de los certificados de forma centralizada. Los certificados públicos y privados proporcionados AWS Certificate Manager para su uso con los servicios integrados de ACM son gratuitos. Solo paga por los AWS recursos que cree para ejecutar la aplicación.

De AWS Private Certificate Authorityeste modo, paga mensualmente por el funcionamiento de la entidad emisora de certificados (CA) privada y por los certificados privados que emite. Dispone de un servicio de CA privada de alta disponibilidad sin la inversión inicial ni los costes de mantenimiento continuos que supone gestionar su propia entidad de certificación privada.

AWS CloudHSM

AWS CloudHSMSe trata de un módulo de seguridad de hardware (HSM) basado en la nube que le permite generar y utilizar fácilmente sus propias claves de cifrado en el. Nube de AWS Con él AWS CloudHSM, puede administrar sus propias claves de cifrado mediante HSM dedicados validados por el FIPS 140-2 de nivel 3. AWS CloudHSM le ofrece la flexibilidad de integrarse con sus aplicaciones mediante API estándares del sector, como PKCS #11, Java Cryptography Extensions (JCE) y bibliotecas Microsoft CryptoNG (CNG).

AWS CloudHSM cumple con los estándares y le permite exportar todas sus claves a la mayoría de los demás HSM disponibles en el mercado, en función de sus configuraciones. Se trata de un servicio totalmente gestionado que automatiza las tediosas tareas administrativas, como el aprovisionamiento de hardware, la aplicación de parches de software, la alta disponibilidad y las copias de seguridad. AWS CloudHSM también le permite escalar rápidamente al añadir y eliminar capacidad de HSM bajo demanda, sin costes iniciales.

AWS Directory Service

AWS Directory Servicepara Microsoft Active Directory, también conocido como AWS Managed Microsoft AD, permite que sus cargas de trabajo compatibles con directorios y los recursos de AWS utilicen Active Directory administrado en. Nube de AWS AWS Managed Microsoft AD se basa en Microsoft Active Directory real y no requiere que sincronice o replique los datos de su Active Directory existente en la nube. Puede utilizar las herramientas de administración estándar de Active Directory y aprovechar las funciones integradas de Active Directory, como la política de grupo y el inicio de sesión único (SSO). Con AWS Managed Microsoft AD, puede unir fácilmente instancias de Amazon EC2 y Amazon RDS for SQL Server a un dominio y utilizar aplicaciones de TI empresariales de AWS, como WorkSpacesAmazon, con usuarios y grupos de Active Directory.

AWS Firewall Manager

AWS Firewall Manageres un servicio de administración de seguridad que le permite configurar y administrar de forma centralizada las reglas de firewall en todas sus cuentas y aplicaciones en. AWS Organizations A medida que se crean nuevas aplicaciones, Firewall Manager facilita el cumplimiento de las nuevas aplicaciones y recursos mediante la aplicación de un conjunto común de reglas de seguridad. Ahora dispone de un único servicio para crear reglas de firewall, crear políticas de seguridad y aplicarlas de manera coherente y jerárquica en toda su infraestructura, desde una cuenta de administrador central.

AWS Identity and Access Management

AWS Identity and Access Management(IAM) le permite controlar de forma segura el acceso a AWS los servicios y recursos para sus AWS usuarios, grupos y funciones. Con IAM, puede crear y administrar controles de acceso detallados con permisos, especificar quién puede acceder a qué servicios y recursos y en qué condiciones. IAM le permite hacer lo siguiente:

  • Usted administra AWS los permisos de los usuarios y las cargas de trabajo de su fuerza laboral en AWS IAM Identity Center(IAM Identity Center). El IAM Identity Center le permite gestionar el acceso de los usuarios en varias cuentas. AWS Con solo unos pocos clics, puede activar un servicio de alta disponibilidad, gestionar fácilmente el acceso a varias cuentas y los permisos de todas sus cuentas de forma centralizada. AWS Organizations IAM Identity Center incluye integraciones de SAML integradas en muchas aplicaciones empresariales, como Salesforce, Box y Microsoft Office 365. Además, puede crear integraciones con el lenguaje de marcado de aserciones de seguridad (SAML) 2.0 y ampliar el acceso mediante el inicio de sesión único a cualquiera de sus aplicaciones compatibles con SAML. Los usuarios solo tienen que iniciar sesión en un portal de usuario con las credenciales que hayan configurado o utilizar sus credenciales corporativas existentes para acceder a todas las cuentas y aplicaciones asignadas desde un solo lugar.

  • Gestione los permisos de IAM de una sola cuenta: puede especificar el acceso a AWS los recursos mediante permisos. De forma predeterminada, sus entidades de IAM (usuarios, grupos y roles) comienzan sin permisos. A estas identidades se les pueden conceder permisos adjuntando una política de IAM que especifique el tipo de acceso, las acciones que se pueden realizar y los recursos en los que se pueden realizar las acciones. También puede especificar las condiciones que se deben establecer para permitir o denegar el acceso.

  • Administre las funciones de IAM de una sola cuenta: las funciones de IAM le permiten delegar el acceso a usuarios o servicios que normalmente no tienen acceso a los recursos de su organización. AWS Los usuarios o AWS servicios de IAM pueden asumir una función para obtener una credencial de seguridad temporal que se utilizará para realizar llamadas a la API. AWS No es necesario compartir credenciales de larga duración ni definir permisos para cada identidad.

AWS Key Management Service

AWS Key Management Service(AWS KMS) le facilita la creación y la administración de claves criptográficas y el control de su uso en una amplia gama de AWS servicios y aplicaciones. AWS KMS utiliza módulos de seguridad de hardware (HSM) para proteger y validar sus AWS KMS claves en el marco del programa de validación de módulos criptográficos FIPS 140-2. AWS KMS está integrado AWS CloudTrail para proporcionarle registros de todo el uso de claves para ayudarlo a satisfacer sus necesidades regulatorias y de cumplimiento.

AWS Network Firewall

AWS Network Firewall es un servicio administrado que facilita la implementación de las protecciones de red esenciales para su uso en todas sus nubes privadas virtuales de Amazon (VPC). El servicio se puede configurar con solo unos clics y se escala automáticamente en función del tráfico de la red, por lo que no tiene que preocuparse por la implementación y la administración de ninguna infraestructura. El motor de reglas flexible de AWS Network Firewall le permite definir reglas de firewall que le proporcionan un control detallado del tráfico de la red, como bloquear las solicitudes de bloqueo de mensajes del servidor (SMB) salientes para evitar la propagación de actividades maliciosas. También puede importar reglas que ya haya redactado en los formatos de reglas habituales de código abierto, así como habilitar las integraciones con fuentes de inteligencia gestionadas creadas por los socios. AWS AWS Network Firewall trabaja en conjunto AWS Firewall Manager para que puedas crear políticas basadas en AWS Network Firewall reglas y luego aplicarlas de forma centralizada en tus VPC y cuentas.

AWS Network Firewall incluye funciones que proporcionan protección contra las amenazas de red más comunes. El AWS Network Firewall firewall con estado puede incorporar el contexto de los flujos de tráfico, como el seguimiento de las conexiones y la identificación de protocolos, para aplicar políticas como impedir que las VPC accedan a los dominios mediante un protocolo no autorizado. El sistema de prevención de AWS Network Firewall intrusiones (IPS) proporciona una inspección activa del flujo de tráfico para que pueda identificar y bloquear las vulnerabilidades mediante la detección basada en firmas. AWS Network Firewall también ofrece un filtrado web que puede detener el tráfico a direcciones URL incorrectas conocidas y supervisar los nombres de dominio totalmente cualificados.

Para empezar, basta con AWS Network Firewall visitar la consola de Amazon VPC para crear o importar las reglas de firewall, agruparlas en políticas y aplicarlas a las VPC que desee proteger. AWS Network Firewall el precio se basa en la cantidad de firewalls implementados y en la cantidad de tráfico inspeccionado. No hay compromisos por adelantado y solo pagas por lo que utilizas.

AWS Resource Access Manager

AWS Resource Access Manager(AWS RAM) le ayuda a compartir de forma segura sus recursos entre las cuentas de AWS, dentro de su organización o unidades organizativas (OU) en AWS Organizations y con los roles y usuarios de IAM para los tipos de recursos compatibles. Puede usarlo AWS RAM para compartir pasarelas de tránsito, subredes, configuraciones de AWS License Manager licencias, reglas de Amazon Route 53 Resolver y más tipos de recursos.

Muchas organizaciones utilizan varias cuentas para crear un aislamiento administrativo o de facturación y limitar el impacto de los errores. Con AWS RAM ello, no es necesario crear recursos duplicados en varias AWS cuentas. Esto reduce la sobrecarga operativa que supone administrar los recursos en todas las cuentas que poseas. En su lugar, en su entorno de varias cuentas, puede crear un recurso una vez y usarlo AWS RAM para compartir ese recurso entre cuentas mediante la creación de un recurso compartido. Al crear un recurso compartido, selecciona los recursos que desea compartir, elige un permiso AWS RAM administrado por tipo de recurso y especifica quién quiere que tenga acceso a los recursos. AWS RAM está disponible sin coste adicional.

AWS Secrets Manager

AWS Secrets Manager le ayuda a proteger los secretos necesarios para acceder a sus aplicaciones, servicios y recursos de TI. El servicio le permite rotar, administrar y recuperar fácilmente las credenciales de las bases de datos, las claves de API y otros datos secretos a lo largo de su ciclo de vida. Los usuarios y las aplicaciones recuperan los datos confidenciales con una llamada a las API de Secrets Manager, lo que elimina la necesidad de codificar la información confidencial en texto plano. Secrets Manager ofrece una rotación de secretos con una integración incorporada para Amazon RDS, Amazon Redshift y Amazon DocumentDB. El servicio también se puede extender a otros tipos de secretos, incluidas las claves de API y los tokens de OAuth. Además, Secrets Manager le permite controlar el acceso a los datos secretos mediante permisos detallados y auditar la rotación de secretos de forma centralizada para los recursos en los Nube de AWS servicios de terceros y en las instalaciones.

AWS Security Hub

AWS Security Hubes un servicio de gestión de la postura de seguridad en la nube que realiza comprobaciones automatizadas y continuas de las mejores prácticas de seguridad comparándolas con sus recursos. AWS Security Hub agrupa sus alertas de seguridad (es decir, los hallazgos) de varios AWS servicios y productos de socios en un formato estandarizado para que pueda tomar medidas al respecto con mayor facilidad. Para mantener una visión completa de su postura de seguridad AWS, debe integrar varias herramientas y servicios, incluidas las detecciones de amenazas de Amazon, las vulnerabilidades de Amazon Inspector GuardDuty, las clasificaciones de datos confidenciales de Amazon Macie, los problemas de configuración AWS Config de los recursos y los productos. AWS Partner Network Security Hub simplifica la forma en que comprende y mejora su postura de seguridad con comprobaciones automatizadas de las mejores prácticas de seguridad impulsadas por AWS Config reglas e integraciones automatizadas con docenas de AWS servicios y productos de socios.

Security Hub le permite comprender su postura de seguridad general mediante una puntuación de seguridad consolidada en todas sus AWS cuentas y evalúa automáticamente la seguridad de los recursos de sus AWS cuentas mediante el estándar de mejores prácticas de seguridad AWS fundamentales (FSBP) y otros marcos de cumplimiento. También agrupa todos los hallazgos de seguridad de docenas de servicios de AWS seguridad y productos de APN en un solo lugar y formato mediante el formato de búsqueda de AWS seguridad (ASFF), y reduce el tiempo medio de remediación (MTTR) con una respuesta automática y un soporte de remediación. Security Hub cuenta con out-of-the-box integraciones con herramientas de venta de entradas, chat, gestión de eventos e información de seguridad (SIEM), automatización y respuesta de la orquestación de seguridad (SOAR), investigación de amenazas, gobernanza, riesgo y cumplimiento (GRC) y gestión de incidentes para ofrecer a sus usuarios un flujo de trabajo de operaciones de seguridad completo.

Para empezar a utilizar Security Hub, basta con unos pocos clics AWS Management Console para empezar a recopilar las conclusiones y realizar comprobaciones de seguridad con nuestra versión de prueba gratuita de 30 días. Puede integrar Security Hub AWS Organizations para habilitar automáticamente el servicio en todas las cuentas de su organización.

AWS Shield

AWS Shieldes un servicio de protección gestionado contra la denegación de servicio distribuido (DDoS) que protege las aplicaciones web que se ejecutan en AWS ellas. AWS Shield le proporciona una detección permanente y mitigaciones automáticas integradas que minimizan el tiempo de inactividad y la latencia de las aplicaciones, por lo que no es necesario recurrir AWS Support a ellos para beneficiarse de la protección contra DDoS. Hay dos niveles: estándar y avanzado. AWS Shield

Todos AWS los clientes se benefician de las protecciones automáticas de AWS Shield Standard, sin coste adicional. AWS Shield Standard se defiende contra los ataques DDoS más comunes y frecuentes en la capa de transporte y que tienen como objetivo su sitio web o sus aplicaciones. Cuando lo utiliza AWS Shield Standard con Amazon CloudFront y Amazon Route 53, recibe una protección de disponibilidad integral contra todos los ataques conocidos a la infraestructura (capas 3 y 4).

Para obtener niveles más altos de protección contra los ataques dirigidos a sus aplicaciones que se ejecutan en los recursos de Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB), CloudFront Amazon y Amazon Route 53, puede suscribirse a. AWS Shield Advanced Además de las protecciones de nivel de red y transporte que vienen con Standard, AWS Shield Advanced ofrece detección y mitigación adicionales contra los ataques DDoS grandes y sofisticados, visibilidad de los ataques casi en tiempo real e integración con un firewall de AWS WAF aplicaciones web. AWS Shield Advanced también le brinda acceso las 24 horas del día, los 7 días de la semana, al equipo de respuesta a DDoS (DRT) de AWS y protección contra los picos relacionados con los DDoS en sus cargos de Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB), Amazon y Amazon Route 53. CloudFront

AWS Shield Advanced está disponible en todo el mundo en todas las ubicaciones perimetrales de Amazon CloudFront y Amazon Route 53. Puede proteger sus aplicaciones web alojadas en cualquier parte del mundo si despliega Amazon CloudFront delante de su aplicación. Sus servidores de origen pueden ser Amazon S3, Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB) o un servidor personalizado externo a. AWS También puede activar AWS Shield Advanced directamente en una Elastic IP o Elastic Load Balancing (ELB) en las siguientes ubicaciones Regiones de AWS: Virginia del Norte, Ohio, Oregón, Norte de California, Montreal, São Paulo, Irlanda, Fráncfort, Londres, París, Estocolmo, Singapur, Tokio, Sídney, Seúl, Bombay, Milán y Ciudad del Cabo.

AWS IAM Identity Center

AWS IAM Identity Center(SSO) es un servicio de SSO en la nube que facilita la administración centralizada del acceso SSO a varias AWS cuentas y aplicaciones empresariales. Con solo unos pocos clics, puede habilitar un servicio de SSO de alta disponibilidad sin la inversión inicial ni los costos de mantenimiento continuos que implica operar su propia infraestructura de SSO. Con el IAM Identity Center, puede gestionar fácilmente el acceso al SSO y los permisos de usuario de todas sus cuentas de forma centralizada. AWS Organizations IAM Identity Center también incluye integraciones de SAML integradas en muchas aplicaciones empresariales, como Salesforce, Box y Microsoft Office 365. Además, mediante el asistente de configuración de aplicaciones del IAM Identity Center, puede crear integraciones con el lenguaje de marcado de aserciones de seguridad (SAML) 2.0 y ampliar el acceso SSO a cualquiera de sus aplicaciones compatibles con SAML. Sus usuarios solo tienen que iniciar sesión en un portal de usuario con las credenciales que hayan configurado en el IAM Identity Center o utilizar sus credenciales corporativas existentes para acceder a todas las cuentas y aplicaciones asignadas desde un solo lugar.

AWS WAF

AWS WAFes un firewall de aplicaciones web que ayuda a proteger sus aplicaciones web o API contra los ataques web y los bots más comunes que pueden afectar a la disponibilidad, comprometer la seguridad o consumir recursos excesivos. AWS WAF le permite controlar la forma en que el tráfico llega a sus aplicaciones, ya que le permite crear reglas de seguridad que controlan el tráfico de bots y bloquean los patrones de ataque más comunes, como la inyección de código SQL o las secuencias de comandos entre sitios. También puede personalizar las reglas que filtran patrones de tráfico específicos. Puedes empezar rápidamente a utilizar Managed Rules for AWS WAF, un conjunto preconfigurado de reglas gestionadas por AWS nuestros AWS Marketplace vendedores para abordar cuestiones como los 10 principales riesgos de seguridad de OWASP y los bots automatizados que consumen recursos excesivos, distorsionan las métricas o pueden provocar tiempos de inactividad. Estas reglas se actualizan periódicamente a medida que surgen nuevos problemas. AWS WAF incluye una API con todas las funciones que puede utilizar para automatizar la creación, el despliegue y el mantenimiento de las reglas de seguridad.

AWS WAF Captcha

El Captcha de AWS WAF ayuda a bloquear el tráfico de bots no deseado al requerir que los usuarios completen correctamente los desafíos antes de permitir que su solicitud web llegue a los recursos protegidos. AWS WAF Puede configurar AWS WAF reglas que exijan resolver los problemas de WAF Captcha para recursos específicos a los que suelen atacar los bots, como el inicio de sesión, las búsquedas y el envío de formularios. También puedes solicitar desafíos de Captcha de WAF para solicitudes sospechosas en función de la tasa, los atributos o las etiquetas generadas Reglas administradas de AWS, como AWS WAF Bot Control o la lista de reputación de IP de Amazon. Los desafíos de WAF Captcha son sencillos para los humanos y, al mismo tiempo, eficaces contra los bots. El WAF Captcha incluye una versión en audio y está diseñado para cumplir con los requisitos de accesibilidad de las Pautas de Accesibilidad al Contenido Web (WCAG).