Uso de una VPC compartida con supervisión del tiempo de ejecución - Amazon GuardDuty
FuncionamientoRequisitos previos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de una VPC compartida con supervisión del tiempo de ejecución

GuardDuty Runtime Monitoring admite el uso de Amazon Virtual Private Cloud (Amazon VPC) compartida para usted Cuentas de AWS que pertenezca a la misma organización. AWS Organizations Puedes usar la VPC compartida de dos maneras:

  • Configuración automática del agente (recomendada): cuando gestione GuardDuty automáticamente el agente de seguridad, también configurará la política de puntos de conexión de Amazon VPC. Esta política se basa en la configuración de VPC compartida de su organización.

    Debe habilitar la configuración automática del agente en la cuenta del propietario de la VPC compartida y en todas las cuentas participantes que compartirán esta VPC.

  • Agente administrado manualmente: al administrar manualmente el agente de seguridad con una VPC compartida, debe actualizar la política de puntos finales de la VPC para permitir que las cuentas correspondientes accedan a la VPC compartida. Para ello, puedes usar el ejemplo de política que se comparte en la siguiente sección. Funcionamiento

    En los escenarios de administración manual que involucran cuentas participantes para una VPC compartida, es posible que el estado de la cobertura no sea exacto. Para garantizar el estado de up-to-date protección y cobertura de sus recursos, GuardDuty recomienda habilitar la configuración automática de agentes para todas las cuentas que utilizarán una VPC compartida.

Funcionamiento

Las Cuentas de AWS que pertenezcan a la misma organización que la cuenta de propietario de Amazon VPC compartida también pueden compartir el mismo punto de enlace de Amazon VPC. Cada una de las cuentas que utilizan la misma política de puntos de conexión de Amazon VPC se denomina AWS cuenta participante de la Amazon VPC compartida asociada.

El siguiente ejemplo muestra la política de punto de conexión de VPC predeterminada de la cuenta de propietario de la VPC compartida y la cuenta participante. aws:PrincipalOrgID mostrará el ID de la organización asociado al recurso de la VPC compartida. El uso de esta política se limita a las cuentas participantes presentes en la organización de la cuenta de propietario.

ejemplo
Ejemplo de política de punto final de VPC compartido
{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
Mostrar másMostrar menos

Con configuración GuardDuty automática de agentes

Cuando la cuenta de propietario de la VPC compartida habilita la supervisión del tiempo de ejecución y la configuración automática de los agentes para cualquiera de los recursos ( AWS Fargate Amazon EKS o (solo Amazon ECS)), todos los recursos compartidos VPCs pueden instalarse automáticamente en la cuenta de propietario de la VPC compartida. GuardDuty recupera el ID de la organización que está asociado a la Amazon VPC compartida.

GuardDuty crea un punto de enlace de Amazon VPC cuando la cuenta del propietario de la VPC compartida o la cuenta participante lo necesitan. Algunos ejemplos de la necesidad de un punto de conexión de Amazon VPC incluyen la activación GuardDuty, la supervisión del tiempo de ejecución, la supervisión del tiempo de ejecución de EKS o el lanzamiento de una nueva tarea de Amazon ECS-Fargate. Cuando estas cuentas habilitan Runtime Monitoring y la configuración automática de agentes para cualquier tipo de recurso, GuardDuty crea un punto de enlace de Amazon VPC y establece la política de puntos de enlace con el mismo ID de organización que el de la cuenta de propietario de la VPC compartida. GuardDuty añade una GuardDutyManaged etiqueta y la establece true para el punto de enlace de Amazon VPC que GuardDuty crea. Si la cuenta de propietario de Amazon VPC compartida no ha habilitado la monitorización del tiempo de ejecución o la configuración automática de agentes para ninguno de los recursos, no GuardDuty establecerá la política de puntos de conexión de Amazon VPC. Para obtener información sobre cómo configurar la Supervisión en tiempo de ejecución y administrar el agente de seguridad automáticamente en la cuenta de propietario de la VPC compartida, consulte Habilitación GuardDuty de la supervisión del tiempo.

Se utiliza con un agente gestionado manualmente

Cuando utilice una VPC compartida con un agente gestionado manualmente, compruebe que no haya una política de Deny punto final explícita que bloquee ninguna cuenta que necesite usar la VPC compartida. Esto evitará que el agente de seguridad envíe datos telemétricos a GuardDuty, lo que generará un estado de cobertura. Unhealthy Para configurar la política de puntos finales, consulte. Example shared VPC endpoint policy

Es posible que la cobertura del tiempo de ejecución no sea precisa en situaciones como la falta de permisos para la VPC compartida. Puede supervisar de forma continua la cobertura de los recursos siguiendo los pasos correspondientes al tipo de recurso indicado. Revisar las estadísticas de la cobertura en tiempo de ejecución y resolución de problemas

Para garantizar la protección continua de sus recursos informáticos con Runtime Monitoring, le GuardDuty recomienda habilitar la configuración automática de agentes para la cuenta propietaria de la VPC compartida y todas las cuentas participantes de sus recursos.

Requisitos previos para utilizar una VPC compartida

Como parte de la configuración inicial, lleve a cabo los siguientes pasos en la Cuenta de AWS que desee que sea el propietario de la VPC compartida:

  1. Crear una organización: para crear una organización, siga los pasos que se indican en Crear y administrar una organización en la Guía del usuario de AWS Organizations .

    Para obtener información sobre cómo añadir o eliminar cuentas de miembros, consulte Administrar Cuentas de AWS en su organización.

  2. Crear un recurso de VPC compartida: puede crear un recurso de VPC compartida desde la cuenta de propietario. Para obtener más información, consulte Compartir las subredes de VPC con otras cuentas en la Guía del usuario de Amazon VPC.

Requisitos previos específicos de la supervisión del tiempo de ejecución GuardDuty

La siguiente lista proporciona los requisitos previos específicos de: GuardDuty

  • La cuenta de propietario de la VPC compartida y la cuenta participante pueden ser de diferentes organizaciones en. GuardDuty Sin embargo, deben pertenecer a la misma organización en AWS Organizations. Esto es necesario GuardDuty para crear un punto de enlace de Amazon VPC y un grupo de seguridad para la VPC compartida. Para obtener información sobre cómo VPCs funcionan las cuentas compartidas, consulte Compartir su VPC con otras cuentas en la Guía del usuario de Amazon VPC.

  • Habilite Runtime Monitoring o EKS Runtime Monitoring y GuardDuty automatice la configuración de agentes para cualquier recurso de la cuenta de propietario de la VPC compartida y de la cuenta de participante. Para obtener más información, consulte Habilitación de la supervisión en tiempo de ejecución.

    Si ya ha completado estas configuraciones, continúe con el siguiente paso.

  • Cuando trabaje con una tarea de Amazon EKS o una de Amazon ECS (AWS Fargate únicamente), asegúrese de elegir el recurso de VPC compartido asociado a la cuenta del propietario y de seleccionar sus subredes.