Protección de datos en Accelerate - Guía del usuario de AMS Accelerate
Monitoriza con Amazon MacieSupervise con GuardDutySupervise con el firewall DNS Amazon Route 53 ResolverCifrado de datos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en Accelerate

AMS Accelerate aprovecha las herramientas y procesos nativos GuardDuty, Servicios de AWS como Amazon, Amazon Macie (opcional) y otras herramientas y procesos internos patentados, para supervisar de forma continua sus cuentas gestionadas. Cuando se activa una alarma, AMS Accelerate asume la responsabilidad de la clasificación inicial y de la respuesta a la alarma. Los procesos de respuesta de AMS se basan en los estándares del NIST. AMS Accelerate pone a prueba periódicamente los procesos de respuesta mediante la simulación de respuesta a incidentes de seguridad para alinear su flujo de trabajo con los programas de respuesta de seguridad existentes para los clientes.

Cuando AMS Accelerate detecta una infracción o una amenaza inminente de infracción de sus políticas de AWS seguridad, Accelerate recopila información, incluidos los recursos afectados y cualquier cambio relacionado con la configuración. AMS Accelerate ofrece follow-the-sun asistencia las 24 horas del día, los 7 días de la semana, los 365 días del año, con operadores especializados que revisan e investigan activamente los paneles de supervisión, las colas de incidentes y las solicitudes de servicio en todas sus cuentas gestionadas. Accelerate investiga los hallazgos con expertos en seguridad internos para analizar la actividad y notificárselo a través de los contactos de intensificación de la seguridad que figuran en su cuenta.

En función de los resultados, Accelerate interactúa con usted de forma proactiva. Si descubre que la actividad no está autorizada o es sospechosa, AMS trabaja con usted para investigar y solucionar o contener el problema. Existen determinados tipos de hallazgos GuardDuty que requieren que confirme el impacto antes de que Accelerate tome alguna medida. Por ejemplo, el tipo de GuardDuty búsqueda UnauthorizedAccess:IAMUser/ConsoleLoginindica que uno de sus usuarios ha iniciado sesión desde una ubicación inusual; AMS se lo notifica y le pide que revise el hallazgo para confirmar si este comportamiento es legítimo.

Monitoriza con Amazon Macie

AMS Accelerate apoya Amazon Macie, y es una buena práctica utilizarlo para detectar una lista amplia y completa de datos confidenciales, como información de salud personal (PHI), información de identificación personal (PII) y datos financieros.

Puede configurar Macie para que se ejecute periódicamente en cualquier bucket de Amazon S3. Esto automatiza la evaluación de los objetos nuevos o modificados dentro de un bucket a lo largo del tiempo. A medida que se generan problemas de seguridad, AMS se lo notifica y trabaja con usted para subsanarlos según sea necesario.

Para obtener más información, consulte Análisis de los hallazgos de Amazon Macie.

Supervise con GuardDuty

GuardDuty es un servicio de supervisión continua de la seguridad que utiliza fuentes de información sobre amenazas, como listas de direcciones IP y dominios maliciosos, y aprendizaje automático para identificar actividades inesperadas, potencialmente no autorizadas y maliciosas en su AWS entorno. Esto puede incluir problemas como la escalada de privilegios, el uso de credenciales expuestas o la comunicación con direcciones IP o dominios maliciosos. GuardDuty monitorea el comportamiento de Cuenta de AWS acceso para detectar signos de peligro, como despliegues de infraestructura no autorizados o instancias implementadas en una AWS región que nunca has utilizado. GuardDuty también detecta llamadas inusuales a la API, como un cambio en la política de contraseñas para reducir la seguridad de la contraseña. Para obtener más información, consulte la Guía del usuario de GuardDuty .

Para ver y analizar sus GuardDuty hallazgos, complete los siguientes pasos:

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. Elija Hallazgos y, a continuación, seleccione un hallazgo específico para ver los detalles. Los detalles de cada hallazgo varían según el tipo de hallazgo, los recursos involucrados y la naturaleza de la actividad.

Para obtener más información sobre los campos de búsqueda disponibles, consulte los detalles de GuardDuty búsqueda.

Utilice las reglas de GuardDuty supresión para filtrar los resultados

Una regla de supresión es un conjunto de criterios que consta de un atributo de filtro emparejado con un valor. Puede usar las reglas de supresión para filtrar los hallazgos de bajo valor sobre los que no tiene intención de actuar, como los resultados de falsos positivos o las actividades conocidas. Filtrar los resultados ayuda a reconocer con más facilidad las amenazas a la seguridad que podrían tener el mayor impacto en su entorno.

Para filtrar los hallazgos, las reglas de supresión archivan automáticamente los nuevos hallazgos que coinciden con los criterios especificados. Los resultados archivados no se envían a AWS Security Hub, Amazon S3 ni CloudTrail Events. Por lo tanto, los filtros de supresión reducen los datos inutilizables si se consumen los GuardDuty hallazgos a través de Security Hub o de una aplicación SIEM de terceros de alertas y emisión de tickets.

AMS tiene un conjunto definido de criterios para identificar las reglas de supresión para sus cuentas gestionadas. Cuando una cuenta gestionada cumple con este criterio, AMS aplica los filtros y le crea una solicitud de servicio (SR) en la que se detalla el filtro de supresión implementado.

Puede comunicarse con AMS a través de un SR para modificar o revertir los filtros de supresión.

Vea los resultados archivados

GuardDuty sigue generando hallazgos incluso cuando esos hallazgos coinciden con sus reglas de supresión. Los hallazgos suprimidos se marcan como archivados. GuardDuty almacena los hallazgos archivados durante 90 días. Para ver las conclusiones archivadas durante esos 90 días en la GuardDuty consola, seleccione Archivado en la tabla de conclusiones. O bien, consulta los hallazgos archivados a través de la GuardDuty ListFindingsAPI con un valor de FindingCriteria de service.archived igual a true.

Casos de uso comunes de las reglas de supresión

Los siguientes tipos de resultados tienen casos de uso comunes para la aplicación de reglas de supresión.

  • Recon: EC2 /Portscan: Utilice una regla de supresión para archivar automáticamente los hallazgos cuando utilice un escáner de vulnerabilidades autorizado.

  • UnauthorizedAccess:EC2/SSHBruteForce: utilice una regla de supresión para archivar automáticamente los hallazgos cuando se dirijan a instancias de bastión.

  • Recon:EC2/PortProbeUnprotectedPort: Usa una regla de supresión para archivar automáticamente los hallazgos cuando se dirija a instancias expuestas intencionadamente.

Supervise con el firewall DNS Amazon Route 53 Resolver

Amazon Route 53 Resolver responde de forma recursiva a las consultas de DNS de AWS los recursos de registros públicos, los nombres de DNS específicos de Amazon VPC y las zonas alojadas privadas de Amazon Route 53, y está disponible de forma predeterminada en todos. VPCs Con DNS Firewall de Route 53 Resolver, puede filtrar y regular el tráfico DNS de salida para su virtual private cloud (VPC). Para ello, cree colecciones reutilizables de reglas de filtrado en grupos de reglas de DNS Firewall, asocie los grupos de reglas a su VPC y, a continuación, monitoree la actividad en los registros y métricas de DNS Firewall. En función de la actividad, puede ajustar el comportamiento de DNS Firewall según corresponda. Para obtener más información, consulte Uso del firewall de DNS para filtrar el tráfico DNS saliente.

Para ver y administrar la configuración del firewall DNS de Route 53 Resolver, utilice el siguiente procedimiento:

  1. Inicie sesión en la consola de Amazon VPC AWS Management Console y ábrala en. https://console.aws.amazon.com/vpc/

  2. En Firewall de DNS, selecciona Grupos de reglas.

  3. Revisa, edita o elimina la configuración existente o crea un grupo de reglas nuevo. Para obtener más información, consulte Cómo funciona el firewall DNS de Route 53 Resolver.

Supervisión y seguridad del firewall DNS de Amazon Route 53 Resolver

El firewall DNS de Amazon Route 53 utiliza los conceptos de asociaciones de reglas, acción de reglas y prioridad de evaluación de reglas. Una lista de dominios es un conjunto reutilizable de especificaciones de dominio que se utiliza en una regla de DNS Firewall, dentro de un grupo de reglas. Al asociar un grupo de reglas a una VPC, DNS Firewall compara las consultas de DNS con las listas de dominios que se utilizan en las reglas. Si el Firewall de DNS encuentra una coincidencia, gestiona la consulta de DNS de acuerdo con la acción de la regla coincidente. Para obtener más información sobre los grupos de reglas y las reglas, consulte Reglas y grupos de reglas del Firewall DNS.

Las listas de dominios se dividen en dos categorías principales:

  • Listas de dominios gestionadas, que se AWS crean y mantienen para usted.

  • Sus propias listas de dominios, que usted crea y mantiene.

Los grupos de reglas se evalúan en función de su índice de prioridad de asociación.

De forma predeterminada, AMS implementa una configuración de referencia que consta de la siguiente regla y grupo de reglas:

  • Un grupo de reglas denominadoDefaultSecurityMonitoringRule. El grupo de reglas tiene la prioridad de asociación más alta disponible en el momento de la creación para cada VPC existente en cada una de las VPC habilitadas. Región de AWS

  • Una regla nombrada DefaultSecurityMonitoringRule con la prioridad 1 dentro del grupo de DefaultSecurityMonitoringRule reglas, mediante la lista de dominios AWSManagedDomainsAggregateThreatList gestionados con la acción ALERT.

Si tiene una configuración existente, la configuración básica se implementa con una prioridad inferior a la configuración existente. La configuración actual es la predeterminada. Utiliza la configuración básica de AMS como una configuración general si la configuración existente no proporciona instrucciones de mayor prioridad sobre cómo gestionar la resolución de consultas. Para modificar o eliminar la configuración básica, realice una de las siguientes acciones:

  • Póngase en contacto con su administrador de prestación de servicios en la nube (CSDM) o con su arquitecto de nube (CA).

  • Cree una solicitud de servicio.

Cifrado de datos en AMS Accelerate

AMS Accelerate utiliza varios Servicios de AWS para el cifrado de datos.

Amazon Simple Storage Service ofrece varias opciones de cifrado de objetos que protegen los datos en tránsito y en reposo. El cifrado del lado del servidor cifra el objeto antes de guardarlo en discos de sus centros de datos y, a continuación, lo descifra al descargar los objetos. Siempre que autentique su solicitud y tenga permiso de acceso, no existe diferencia alguna en la forma de obtener acceso a objetos cifrados o sin cifrar. Para obtener más información, consulte Protección de los datos en Amazon S3.