Opciones de automatización de la respuesta
Es importante asegurarse de equilibrar la implementación empresarial y la estructura organizativa. En la figura 4 se ilustran las diferencias entre los atributos técnicos de cada opción de respuesta automatizada en su implementación de AWS con un gráfico radial. En el gráfico, cuanto más lejos esté el atributo técnico del centro del gráfico, mayor será la fuerza de dicho atributo para la respuesta de automatización correspondiente. Por ejemplo, AWS Lambda ofrece la mayor velocidad y requiere menos habilidades técnicas. AWS Fargate ofrece más flexibilidad y requiere menos habilidades técnicas y mantenimiento. En la tabla 1 se ofrece información general de estas opciones de automatización y un resumen de los atributos técnicos de cada una.
Figura 4: Diferencias entre los atributos técnicos de los enfoques de respuesta automatizada
Tabla 1: Opciones para la respuesta automatizada
Servicio o característica de AWS | Descripción | Resumen de atributos* |
---|---|---|
AWS Lambda | Sistema que solo usa AWS Lambda, con el lenguaje empresarial de su organización. |
Velocidad Flexibilidad Mantenimiento Habilidades |
AWS Step Functions | Sistema que usa AWS Step Functions, Lambda y SSM Agent. |
Velocidad Flexibilidad Mantenimiento Habilidades |
Corrección automática con Reglas de AWS Config | Conjunto de Reglas de AWS Config y correcciones automáticas que evalúan el entorno y lo devuelven a la especificación aprobada. |
Mantenimiento y habilidades Velocidad y flexibilidad |
SSM Agent | Conjunto de reglas y documentos de automatización que revisan muchas partes de los entornos y los sistemas internos y realizan correcciones. |
Mantenimiento y habilidades Velocidad Flexibilidad |
AWS Fargate | Sistema de AWS Fargate que usa código de función escalonada de código abierto y los eventos de Amazon CloudWatch, así como otros sistemas, para impulsar la detección y la corrección. |
Flexibilidad Velocidad Mantenimiento y habilidades |
Amazon EC2 | Sistema que se ejecuta en una instancia completa, similar a la opción de AWS Fargate. |
Flexibilidad Velocidad Mantenimiento Habilidades |
* Los atributos se enumeran en orden descendente para cada servicio o característica. Por ejemplo, AWS Lambda ofrece la mayor velocidad y requiere menos habilidades técnicas. AWS Fargate ofrece más flexibilidad y requiere menos habilidades técnicas y mantenimiento.
Al considerar estas opciones de automatización en el entorno de AWS, también debe tener en cuenta la centralización y el periodo de análisis (eventos por segundo [EPS]).
La centralización hace referencia a una cuenta central que controla todas las actividades de detección y corrección de una organización. Este enfoque parece la mejor opción disponible y es la práctica recomendada actualmente. Sin embargo, en algunas circunstancias es necesario desviarse de este enfoque; comprender cuándo depende de la forma en que gestione sus cuentas subordinadas. Se recomienda empezar por aprovechar el enfoque de la cuenta de herramientas de seguridad en el marco de varias cuentas de AWS Organizations
Tabla 2: Ventajas y desventajas de la centralización
Centralización | Descentralización | |
---|---|---|
Ventajas |
Administración de configuración sencilla No se puede cancelar ni modificar la respuesta |
Arquitectura sencilla Configuración inicial más rápida |
Desventajas |
Mayor complejidad de la arquitectura Incorporación y desvinculación de cuentas y recursos |
Más recursos para administrar Dificultad para mantener una referencia de software |
Una comparación de costes de estas implementaciones también puede contribuir a su decisión empresarial a la hora de determinar la mejor opción. La métrica de eventos por segundo (EPS) se utiliza para realizar la mejor estimación de los costes. En última instancia, puede resultar mucho más fácil y más barato aplicar enfoques centralizados o descentralizados, pero nos resulta imposible analizar cómo evaluará ese coste específicamente en su cuenta. Asegúrese de tener en cuenta el valor de EPS al enviar esos eventos a una cuenta central para obtener una respuesta. Cuanto mayor sea el valor de EPS, mayor será el coste de enviar esos eventos a una cuenta centralizada.