Administración centralizada de la seguridad - Información general sobre el cumplimiento del reglamento GDPR en AWS

Administración centralizada de la seguridad

Muchas organizaciones se enfrentan a desafíos relacionados con la visibilidad y la administración centralizada de sus entornos. A medida que crece la huella operativa, este desafío puede agravarse a menos que estudie cuidadosamente sus diseños de seguridad. La falta de conocimiento, combinada con una gestión descentralizada y desigual de los procesos de gobernanza y seguridad, puede hacer que su entorno sea vulnerable.

AWS proporciona herramientas que lo ayudan a abordar algunos de los requisitos más desafiantes de la gestión y la gobernanza de TI, además de ofrecer un enfoque de protección de datos por diseño.

AWS Control Tower proporciona un método para configurar y regir un entorno de AWS de varias cuentas nuevo y seguro. Aquí se automatiza la configuración de una zona de aterrizaje, que es un entorno de varias cuentas que se basa en esquemas de prácticas recomendadas y permite la gobernanza mediante barreras de protección que puede elegir de una lista preempaquetada. Las barreras de protección implementan reglas de gobernanza para la seguridad, el cumplimiento y las operaciones. AWS Control Tower proporciona administración de identidades mediante el directorio AWS IAM Identity Center (IAM Identity Center) predeterminado y permite la auditoría multicuenta mediante IAM Identity Center y IAM. También centraliza los registros procedentes de CloudTrail y de AWS Config, que se almacenan en Amazon S3.

AWS Security Hub es otro servicio que apoya la centralización y puede mejorar la visibilidad de una organización. Security Hub centraliza y prioriza los hallazgos de seguridad y cumplimiento de todas las cuentas y servicios de AWS, como Amazon GuardDuty y Amazon Inspector. Además, se puede integrar con el software de seguridad de socios externos para ayudarlo a analizar las tendencias de seguridad e identificar problemas de seguridad de máxima prioridad.

Amazon GuardDuty es un servicio de detección de amenazas inteligente que puede ayudar a los clientes a supervisar y proteger con mayor precisión y facilidad sus cuentas, cargas de trabajo y datos de AWS almacenados en Amazon S3. GuardDuty analiza miles de millones de eventos de sus cuentas de AWS de varios orígenes, incluidos eventos de administración de AWS CloudTrail, eventos de datos de Amazon S3 de CloudTrail, registros de flujo de Amazon Virtual Private Cloud y registros de DNS. Por ejemplo, detecta llamadas a la API inusuales, comunicaciones de salida sospechosas hacia direcciones IP malintencionadas conocidas o posibles robos de datos mediante consultas de DNS como mecanismo de transporte. GuardDuty puede proporcionar resultados más precisos al aprovechar la inteligencia contra amenazas impulsada por el machine learning y los socios de seguridad externos.

Amazon Inspector es un servicio automático de evaluación de la seguridad que ayuda a mejorar la seguridad y el cumplimiento de las aplicaciones implementadas en las instancias de Amazon EC2. Amazon Inspector evalúa automáticamente las aplicaciones en busca de exposiciones, vulnerabilidades y desviaciones de las prácticas recomendadas. Después de la evaluación, Amazon Inspector genera una lista detallada de problemas de seguridad ordenados por nivel de gravedad.

Amazon CloudWatch Events le permite configurar la cuenta de AWS para enviar eventos a otras cuentas de AWS o convertirse en receptor de eventos de otras cuentas u organizaciones. Este mecanismo puede resultar muy útil para implementar escenarios de respuesta a incidentes entre cuentas, pues se pueden tomar las medidas correctivas oportunas (por ejemplo, llamar a una función de Lambda o ejecutar un comando en una instancia de Amazon EC2) según sea necesario cada vez que se produzca un incidente de seguridad.

AWS security services flow diagram showing data path from sources to target options.

Ilustración 5 - Toma de medidas con AWS Security Hub y Amazon CloudWatch Events

AWS Organizations le ayuda a administrar y gobernar de manera centralizada entornos complejos. Le permite controlar el acceso, el cumplimiento y la seguridad en un entorno de varias cuentas. AWS Organizations admite políticas de control de servicios (SCP, por sus siglas en inglés), que definen las acciones de servicio de AWS que se pueden usar con cuentas o unidades organizativas (OU) específicas dentro de una organización.

AWS Systems Manager le ofrece visibilidad y control de la infraestructura de AWS. Puede ver los datos operativos de varios servicios de AWS desde una consola unificada y automatizar las tareas operativas en todos ellos. Puede obtener información sobre las actividades recientes de la API, los cambios en la configuración de los recursos, las alertas operativas, el inventario de software y el estado de cumplimiento de las revisiones. Al utilizar la integración con otros servicios de AWS, también puede tomar medidas sobre los recursos en función de las necesidades operativas, para ayudar a que su entorno sea conforme.

Por ejemplo, al integrar Amazon Inspector con AWS Systems Manager, las evaluaciones de seguridad se simplifican y automatizan, ya que puede instalar el agente de Amazon Inspector automáticamente con Amazon Elastic Compute Cloud Systems Manager al lanzar una instancia de Amazon EC2. También puede realizar correcciones automáticas de los resultados de Amazon Inspector mediante las funciones de Amazon EC2 System Manager y Lambda.