Prácticas recomendadas de seguridad de AWS CloudTrail
AWS CloudTrail proporciona un número de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.
Temas
Prácticas recomendadas de seguridad de CloudTrail Detective
Crear un registro de seguimiento de
Para mantener un registro continuo de los eventos de la cuenta de AWS, debe crear un registro de seguimiento. Aunque CloudTrail proporciona 90 días de información del historial de eventos para los eventos de administración en la consola de CloudTrail sin crear un registro de seguimiento, no es un registro permanente y no proporciona información sobre todos los tipos de eventos posibles. Para disponer de un registro continuado con todos los tipos de eventos que especifique, debe crear un registro de seguimiento, que envía los archivos de registros al bucket de Amazon S3 que especifique.
Para administrar los datos de CloudTrail con mayor facilidad, considere la posibilidad de crear un registro de traza para los eventos de administración de todas las Regiones de AWS y, a continuación, crear trazas adicionales para tipos de eventos específicos de los recursos, como, por ejemplo, la actividad de los buckets de Amazon S3 o las funciones de AWS Lambda.
Estas son algunas de las acciones que puede realizar:
Crear un registro de seguimiento de varias regiones
Para obtener un registro completo de los eventos relacionados con una identidad de IAM o un servicio de su cuenta de AWS, cree un registro de seguimiento de varias regiones. Los registros de seguimiento de varias regiones registran los eventos en todas las Regiones de AWS que están habilitadas en su Cuenta de AWS. Al registrar los eventos en todas las Regiones de AWS habilitadas, se asegura de captar la actividad en todas las regiones habilitadas de su Cuenta de AWS. Esto incluye el registro de los eventos de servicios globales, que se registran en una Región de AWS específica de dicho servicio. Todos los registros de seguimiento que se crearon mediante la consola de CloudTrail son registros de seguimiento de varias regiones.
Estas son algunas de las acciones que puede realizar:
-
Convertir un registro de seguimiento de una sola región existente en un registro de seguimiento de varias regiones.
-
Implemente controles de supervisión continuos para ayudar a garantizar que todos los registros de seguimiento que se han creado registran los eventos de todas las Regiones de AWS mediante la regla multi-region-cloud-trail-enabled de AWS Config.
Habilitar la integridad del archivo de registro de CloudTrail
Los archivos de registro validados son especialmente valiosos para las investigaciones de seguridad y forenses. Por ejemplo, un archivo de registro validado le permite afirmar positivamente que el archivo de registro en sí no ha cambiado, o que determinadas credenciales de identidad de IAM han llevado a cabo una actividad de la API específica. El proceso de validación de la integridad de los archivos de registros de CloudTrail también le permiten saber si un archivo de registros se ha eliminado o cambiado, o confirmar que no se han enviado archivos de registros a su cuenta durante un periodo de tiempo determinado. La validación de la integridad de los archivos de registros de CloudTrail utiliza los algoritmos estándar de la industria: SHA-256 para el hash y SHA-256 con RSA para la firma digital. De ese modo, resulta imposible modificar, eliminar o falsificar los archivos de registro de CloudTrail por medios informáticos sin que se sepa. Para obtener más información, consulte Activación de la validación y los archivos de validación.
Integración con Registros de Amazon CloudWatch
CloudWatch Logs le permite monitorear y recibir alertas para los eventos específicos capturados por CloudTrail. Los eventos que se envían a los Registros de CloudWatch son los que se configuraron para registrarlos con el registro de seguimiento, por lo que tiene que asegurarse de que ha configurado los registros de seguimiento para registrar los tipos de eventos (eventos de administración, de datos o de actividad de datos) que le interese monitorear.
Por ejemplo, puede monitorear los eventos de administración claves relacionados con la seguridad y la red, como Eventos de error de inicio de sesión en la Consola de administración de AWS.
Estas son algunas de las acciones que puede realizar:
-
Revisar el ejemplo Integraciones de CloudWatch Logs con CloudTrail.
-
Configurar el registro de seguimiento para enviar eventos a CloudWatch Logs.
-
Implemente controles de supervisión continuos para ayudar a garantizar que todos los registros de seguimiento estén enviando eventos a CloudWatch Logs para su monitoreo mediante la regla cloud-trail-cloud-watch-logs-enabled de AWS Config.
Uso de Amazon GuardDuty
Amazon GuardDuty es un servicio de detección de amenazas que lo ayuda a proteger las cuentas, los contenedores, las cargas de trabajo y los datos de su entorno de AWS. Mediante modelos de machine learning (ML) y capacidades de detección de anomalías y amenazas, GuardDuty supervisa continuamente los diferentes orígenes de registros para identificar y priorizar los posibles riesgos de seguridad y las actividades maliciosas en el entorno.
Por ejemplo, GuardDuty detectará posibles exfiltraciones de credenciales en caso de que detecte credenciales que se crearon exclusivamente para una instancia de Amazon EC2 a través de un rol de lanzamiento de instancias, pero que se utilizan desde otra cuenta dentro de AWS. Para obtener más información, consulte la Guía del usuario de Amazon GuardDuty.
Uso de AWS Security Hub CSPM
Supervise el uso de CloudTrail en relación con las prácticas recomendadas de seguridad con AWS Security Hub CSPM. Security Hub utiliza controles de seguridad de detección para evaluar las configuraciones de los recursos y los estándares de seguridad para ayudarlo a cumplir con varios marcos de conformidad. Para obtener más información sobre el uso de Security Hub para evaluar los recursos de CloudTrail, consulte controles de AWS CloudTrail en la Guía del usuario de AWS Security Hub CSPM.
Prácticas recomendadas preventivas de seguridad de CloudTrail
Las siguientes prácticas recomendadas para CloudTrail pueden ser de utilidad para evitar incidentes de seguridad.
Efectuar el registro en un bucket de Amazon S3 dedicado y centralizado
Los archivos de registro de CloudTrail son un registro de auditoría de las acciones hechas por una identidad de IAM o un servicio de AWS. La integridad, plenitud y disponibilidad de estos registros es fundamental para fines forenses y de auditoría. Al efectuar el registro en un bucket de Amazon S3 dedicado y centralizado, es posible aplicar controles de seguridad, acceso y separación de funciones estrictos.
Estas son algunas de las acciones que puede realizar:
-
Crear una cuenta de AWS independiente como cuenta de archivo de registros. Si utiliza AWS Organizations, inscriba esta cuenta en la organización y considere la posibilidad de crear un registro de seguimiento de la organización para registrar los datos de todas las cuentas de AWS de la organización.
-
Si no utiliza Organizations, pero quiere registrar los datos de varias cuentas de AWS, cree un registro de seguimiento para registrar la actividad en esta cuenta de archivo de registros. Restringir el acceso a esta cuenta únicamente a los usuarios administrativos de confianza que necesiten acceso a los datos de auditoría y de la cuenta.
-
Como parte de la creación de un registro de seguimiento, tanto si se trata de un registro de seguimiento de la organización como si es para una única cuenta de AWS, cree un bucket de Amazon S3 dedicado para almacenar los archivos de registros de este registro de seguimiento.
-
Si desea registrar la actividad de más de una cuenta de AWS, modifique la política de bucket para permitir el registro y el almacenamiento de los archivos de registro de todas las cuentas de AWS para las que desea registrar la actividad de la cuenta de AWS.
-
Si no utiliza un registro de seguimiento de organización, cree registros de seguimiento en todas sus cuentas de AWS y especifique el bucket de Amazon S3 en la cuenta de archivos de registro.
Utilizar el cifrado del lado del servidor con claves administradas por AWS KMS
De forma predeterminada, los archivos de registro que envía CloudTrail a su bucket de S3 se cifran mediante cifrado en el servidor con una clave de KMS (SSE-KMS). Para utilizar SSE-KMS con CloudTrail, cree y administre una AWS KMS key, también denominada clave de KMS.
nota
Si utiliza SSE-KMS y la validación de archivos de registro, y ha modificado la política de bucket de Amazon S3 para permitir exclusivamente archivos cifrados mediante SSE-KMS, no podrá crear registros de seguimiento que utilicen dicho bucket a menos que modifique la política de bucket para permitir el cifrado AES256 específicamente, tal y como se muestra en el siguiente ejemplo de línea de política.
"StringNotEquals": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] }
Estas son algunas de las acciones que puede realizar:
-
Conocer las ventajas de cifrar los archivos de registro con SSE-KMS.
-
Cree una clave de KMS para utilizarla para el cifrado de archivos de registro.
-
Configurar el cifrado de los archivos de registro para los registros de seguimiento.
-
Considerar la posibilidad de implementar controles de supervisión continuos para ayudar a garantizar que todos los registros de seguimiento están cifrado los archivos de registro con SSE-KMS mediante la regla cloud-trail-encryption-enabled de AWS Config.
Agregar una clave de condición a la política de temas de Amazon SNS predeterminada
Cuando configura un registro de seguimiento para enviar notificaciones a Amazon SNS, CloudTrail agrega una instrucción a su política de acceso a temas de SNS que permite a CloudTrail enviar contenido a un tema de SNS. Como práctica de seguridad, recomendamos que agregue una clave de condición aws:SourceArn (u, opcionalmente, aws:SourceAccount) a la declaración de la política de temas de Amazon SNS. Esto ayuda a evitar el acceso no autorizado de la cuenta al tema de SNS. Para obtener más información, consulte Política de temas de Amazon SNS para CloudTrail.
Implementar el acceso con privilegios mínimos a los buckets de Amazon S3 en los que se almacenan los archivos de registro
CloudTrail realiza un registro de seguimiento de los eventos de registro en un bucket de Amazon S3 que especifique. Estos archivos de registro contienen un registro de auditoría de las acciones hechas por las identidades de IAM y los servicios de AWS. La integridad y plenitud de estos archivos de registro son fundamentales para fines forenses y de auditoría. Con el fin de ayudar a garantizar esa integridad, debe cumplir el principio de privilegios mínimos al crear o modificar el acceso a cualquier bucket de Amazon S3 utilizado para almacenar los archivos de registros de CloudTrail.
Siga estos pasos:
-
Examinar la política de bucket de Amazon S3 de todos y cada uno de los buckets en los que se almacenan los archivos de registro y ajustarla si es necesario para eliminar cualquier acceso innecesario. Esta política de bucket se generará automáticamente si crea un registro de seguimiento mediante la consola de CloudTrail, pero también puede crearla y administrarla de forma manual.
-
Como práctica recomendada de seguridad, asegúrese de agregar manualmente una clave de condición
aws:SourceArnde la política de bucket. Para obtener más información, consulte Política de bucket de Amazon S3 para CloudTrail. -
Si utiliza el mismo bucket de Amazon S3 para almacenar los archivos de registros de varias cuentas de AWS, siga las instrucciones para recibir los archivos de registros de varias cuentas.
-
Si utiliza un registro de seguimiento de organización, no olvide seguir las instrucciones de los registros de seguimiento de organización y examine la política de ejemplo para un bucket de Amazon S3 para el registro de seguimiento de una organización en Creación de un registro de seguimiento para una organización con la AWS CLI.
-
Consulte la documentación de seguridad de Amazon S3 y la explicación de ejemplo para proteger un bucket.
Habilitar la función de eliminación de la MFA en el bucket de Amazon S3 en el que se almacenan los archivos de registro
Al configurar la autenticación multifactor (MFA), cualquier intento de cambiar el estado de control de versiones del bucket o de eliminar una versión de un objeto requiere una autenticación adicional. De esta forma, incluso si un usuario consigue la contraseña de un usuario de IAM que tenga permisos para eliminar objetos de Amazon S3 de forma definitiva, todavía puede impedir cualquier operación que podría poner en peligro los archivos de registro.
Estas son algunas de las acciones que puede realizar:
-
Consulte la guía de eliminación de MFA en la Guía del usuario de Amazon Simple Storage Service.
-
Agregue una política de bucket de Amazon S3 que requiera el uso de la MFA.
nota
No se puede utilizar la eliminación de MFA con configuraciones del ciclo de vida. Para obtener más información sobre las configuraciones del ciclo de vida y cómo interactúan con otras configuraciones, consulte Configuraciones del ciclo de vida y otras configuraciones de buckets en la Guía del usuario de Amazon Simple Storage Service.
Configurar la gestión del ciclo de vida de los objetos en el bucket de Amazon S3 en el que se almacenan los archivos de registro
De forma predeterminada, el registro de seguimiento de CloudTrail almacena los archivos de registros de forma indefinida en el bucket de Amazon S3 configurado para el registro de seguimiento. Puede utilizar las reglas de administración del ciclo de vida de los objetos de Amazon S3 para definir la política de retención que mejor se adapte a sus necesidades empresariales y de auditoría. Por ejemplo, es posible que desee archivar los archivos de registro que tengan más de un año de antigüedad en Amazon Glacier, o eliminar archivos de registro transcurrido un cierto tiempo.
nota
No se admite la configuración del ciclo de vida en buckets habilitados para autenticación multifactor (MFA).
Limitar el acceso a la política AWSCloudTrail_FullAccess
Los usuarios que tienen la política AWSCloudTrail_FullAccess tienen la capacidad de desactivar o reconfigurar las funciones de auditoría más importantes y confidenciales de sus cuentas de AWS. Esta política no se ha concebido para compartirla ni aplicarla ampliamente a las identidades de IAM de una cuenta de AWS. Limite la aplicación de esta política al menor número de personas posible, las que espera que actúen como administradores de la cuenta de AWS.
