Incidentes del dominio de servicios
Por lo general, los incidentes del dominio de servicios se gestionan exclusivamente a través de las API de AWS.
Identidades
AWS proporciona API a nuestros servicios en la nube que utilizan millones de clientes para crear aplicaciones e impulsar los resultados empresariales. Estas API pueden invocarse a través de muchos métodos, como los kits de desarrollo de software (SDK), la CLI de AWS y la AWS Management Console. Para interactuar con AWS a través de estos métodos, el servicio de IAM ayuda a controlar el acceso a los recursos de AWS de forma segura. Puede usar IAM para controlar quién está autenticado (tiene una sesión iniciada) y autorizado (tiene permisos) para usar recursos en el nivel de cuenta. Para obtener una lista de los servicios de AWS que puede usar con IAM, consulte Servicios de AWS que funcionan con IAM.
Cuando crea una cuenta de AWS por primera vez, comienza por una identidad de inicio de sesión único (SSO) que tiene acceso completo a todos los servicios y recursos de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la cuenta de AWS y se obtiene acceso a ella mediante el inicio de sesión con la dirección de correo electrónico y la contraseña que utilizó para crear la cuenta. Se recomienda encarecidamente no utilizar el usuario raíz en las tareas cotidianas y, en particular, para las tareas administrativas. En lugar de ello, siga la práctica recomendada, que consiste en utilizar el usuario raíz solo para crear el primer usuario de IAM, almacenar de forma segura las credenciales de usuario raíz y utilizarlas para realizar solo unas pocas tareas de administración de servicios y cuentas. Para obtener más información, consulte Crear usuarios de IAM individuales.
Si bien estas API proporcionan valor a millones de clientes, algunos de ellos pueden sufrir un abuso si las personas equivocadas obtienen acceso a su cuenta de IAM o a sus credenciales de usuario raíz. Por ejemplo, puede usar las API para habilitar el registro en su cuenta, como AWS CloudTrail. Sin embargo, si los atacantes obtienen sus credenciales, también pueden usar la API para desactivar estos registros. Para evitar este tipo de abuso, configure los permisos de IAM apropiados que sigan un modelo de privilegios mínimos y proteja de forma adecuada sus credenciales de IAM. Para obtener más información, consulte Prácticas recomendadas de seguridad en IAM en la Guía del usuario de AWS Identity and Access Management. Si se produce este tipo de evento, hay varios controles de detección para identificar que el registro de AWS CloudTrail se ha deshabilitado, incluidos AWS CloudTrail, AWS Config, AWS Trusted Advisor, Amazon GuardDuty y AWS CloudWatch Events.
Recursos
Otras características de las que se puede abusar o que se pueden configurar de forma incorrecta varían de una organización a otra, según la forma en que cada cliente opere en la nube. Por ejemplo, algunas organizaciones tienen la intención de poner ciertos datos o aplicaciones a disposición del público, mientras que otras mantienen sus aplicaciones y datos con carácter interno y confidencial. No todos los eventos de seguridad son malintencionados por naturaleza; algunos pueden ser el resultado de configuraciones involuntarias o incorrectas. Determine las API o las características que tienen un gran impacto en su organización y si las usa con mucha o poca frecuencia.
Puede identificar muchas configuraciones incorrectas de seguridad con el uso de herramientas y servicios. Por ejemplo, AWS Trusted Advisor proporciona una serie de comprobaciones de las prácticas recomendadas. Los socios de AWS también ofrecen cientos de productos líderes del sector que son equivalentes o idénticos a los controles existentes en sus entornos locales o bien se integran en ellos. El programa de competencias de socios de AWS
