Incidentes del dominio de infraestructura
El dominio de infraestructura suele incluir los datos de la aplicación o la actividad relacionada con la red, como el tráfico hacia las instancias de Amazon EC2 dentro de la VPC y los procesos que se ejecutan en los sistemas operativos de las instancias de Amazon EC2.
Por ejemplo, supongamos que su solución de supervisión le ha notificado una posible anomalía de seguridad en la instancia de Amazon EC2. Estos son algunos pasos habituales para abordar esta situación:
-
Capture los metadatos de la instancia de Amazon EC2 antes de realizar cambios en su entorno.
-
Proteja la instancia de Amazon EC2 de la terminación accidental; para ello, habilite la protección de terminación para la instancia.
-
Aísle la instancia de Amazon EC2 mediante el cambio del grupo de seguridad de la VPC. Sin embargo, tenga en cuenta el seguimiento de la conexión de VPC y otras técnicas de contención
. -
Desconecte la instancia de Amazon EC2 de cualquier grupo de AWS Auto Scaling
. -
Anule el registro de la instancia de Amazon EC2 de cualquier servicio de Elastic Load Balancing
relacionado. -
Realice una instantánea de los volúmenes de datos de Amazon EBS asociados a la instancia de EC2 para su protección y para realizar investigaciones de seguimiento.
-
Etiquete la instancia de Amazon EC2 para indicar que se encuentra en cuarentena para la investigación y añada cualquier metadato pertinente, como el ticket de incidencia asociado a la investigación.
Puede realizar todos los pasos anteriores con las API de AWS, los SDK de AWS, AWS CLI y la AWS Management Console. Para interactuar con AWS mediante estos métodos, el servicio de IAM ayuda a controlar el acceso a los recursos de AWS de forma segura. Use IAM para controlar quién está autenticado y autorizado para utilizar recursos en el nivel de cuenta. El servicio IAM proporciona la autenticación y la autorización necesarias para que pueda realizar estas acciones e interactuar con el dominio de servicio.
Una instantánea de un volumen de Amazon EBS es una copia puntual en el nivel de bloque de un volumen de datos de EBS, que se realiza de forma asíncrona y puede tardar un tiempo en completarse, pero indica la diferencia con respecto a esos datos en el futuro. Puede crear nuevos volúmenes de EBS a partir de estas copias y montarlos en la instancia de EC2 forense para que los investigadores correspondientes la analicen en profundidad sin conexión. El diagrama siguiente muestra una versión simplificada del resultado y no describe todos los componentes de la red (como las subredes, las tablas de enrutamiento y las listas de control de acceso a la red).
Figura 6: Aislamiento de instancias de EC2 e instantáneas