Opciones de automatización de la respuesta - Guía de respuestas ante incidentes de seguridad de AWS

Opciones de automatización de la respuesta

Es importante asegurarse de equilibrar la implementación empresarial y la estructura organizativa. En la figura 4 se ilustran las diferencias entre los atributos técnicos de cada opción de respuesta automatizada en su implementación de AWS con un gráfico radial. En el gráfico, cuanto más lejos esté el atributo técnico del centro del gráfico, mayor será la fuerza de dicho atributo para la respuesta de automatización correspondiente. Por ejemplo, AWS Lambda ofrece la mayor velocidad y requiere menos habilidades técnicas. AWS Fargate ofrece más flexibilidad y requiere menos habilidades técnicas y mantenimiento. En la tabla 1 se ofrece información general de estas opciones de automatización y un resumen de los atributos técnicos de cada una.

Diferencias entre los atributos técnicos de los enfoques de respuesta automatizada

Figura 4: Diferencias entre los atributos técnicos de los enfoques de respuesta automatizada

Tabla 1: Opciones para la respuesta automatizada

Servicio o característica de AWS Descripción Resumen de atributos*
AWS Lambda Sistema que solo usa AWS Lambda, con el lenguaje empresarial de su organización.

Velocidad

Flexibilidad

Mantenimiento

Habilidades

AWS Step Functions Sistema que usa AWS Step Functions, Lambda y SSM Agent.

Velocidad

Flexibilidad

Mantenimiento

Habilidades

Corrección automática con Reglas de AWS Config Conjunto de Reglas de AWS Config y correcciones automáticas que evalúan el entorno y lo devuelven a la especificación aprobada.

Mantenimiento y habilidades

Velocidad y flexibilidad

SSM Agent Conjunto de reglas y documentos de automatización que revisan muchas partes de los entornos y los sistemas internos y realizan correcciones.

Mantenimiento y habilidades

Velocidad

Flexibilidad

AWS Fargate Sistema de AWS Fargate que usa código de función escalonada de código abierto y los eventos de Amazon CloudWatch, así como otros sistemas, para impulsar la detección y la corrección.

Flexibilidad

Velocidad

Mantenimiento y habilidades

Amazon EC2 Sistema que se ejecuta en una instancia completa, similar a la opción de AWS Fargate.

Flexibilidad

Velocidad

Mantenimiento

Habilidades

* Los atributos se enumeran en orden descendente para cada servicio o característica. Por ejemplo, AWS Lambda ofrece la mayor velocidad y requiere menos habilidades técnicas. AWS Fargate ofrece más flexibilidad y requiere menos habilidades técnicas y mantenimiento.

Al considerar estas opciones de automatización en el entorno de AWS, también debe tener en cuenta la centralización y el periodo de análisis (eventos por segundo [EPS]).

La centralización hace referencia a una cuenta central que controla todas las actividades de detección y corrección de una organización. Este enfoque parece la mejor opción disponible y es la práctica recomendada actualmente. Sin embargo, en algunas circunstancias es necesario desviarse de este enfoque; comprender cuándo depende de la forma en que gestione sus cuentas subordinadas. Se recomienda empezar por aprovechar el enfoque de la cuenta de herramientas de seguridad en el marco de varias cuentas de AWS Organizations o AWS Control Tower.

Tabla 2: Ventajas y desventajas de la centralización

Centralización Descentralización
Ventajas

Administración de configuración sencilla

No se puede cancelar ni modificar la respuesta

Arquitectura sencilla

Configuración inicial más rápida

Desventajas

Mayor complejidad de la arquitectura

Incorporación y desvinculación de cuentas y recursos

Más recursos para administrar

Dificultad para mantener una referencia de software

Una comparación de costes de estas implementaciones también puede contribuir a su decisión empresarial a la hora de determinar la mejor opción. La métrica de eventos por segundo (EPS) se utiliza para realizar la mejor estimación de los costes. En última instancia, puede resultar mucho más fácil y más barato aplicar enfoques centralizados o descentralizados, pero nos resulta imposible analizar cómo evaluará ese coste específicamente en su cuenta. Asegúrese de tener en cuenta el valor de EPS al enviar esos eventos a una cuenta central para obtener una respuesta. Cuanto mayor sea el valor de EPS, mayor será el coste de enviar esos eventos a una cuenta centralizada.