Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Preguntas frecuentes sobre seguridad
AMS proporciona follow-the-sun asistencia las 24 horas, los 7 días de la semana, los 365 días del año a través de centros Los ingenieros de operaciones especializados de AMS supervisan activamente los cuadros de mando y las colas de incidentes. Por lo general, AMS gestiona sus cuentas mediante la automatización. En raras circunstancias que requieran experiencia específica en resolución de problemas o implementación, un ingeniero de operaciones de AMS podría acceder a sus AWS cuentas.
Las siguientes son preguntas frecuentes sobre las mejores prácticas de seguridad, los controles, los modelos de acceso y los mecanismos de auditoría que AMS Accelerate utiliza cuando un ingeniero de operaciones o un sistema de automatización de AMS accede a sus cuentas.
¿Cuándo acceden los ingenieros de operaciones de AMS a mis entornos?
Los ingenieros de operaciones de AMS no tienen acceso permanente a sus cuentas o instancias. El acceso a las cuentas de los clientes se concede a los operadores de AMS solo en casos de uso empresarial justificables, como alertas, incidentes, solicitudes de cambio, etc. El acceso se documenta en AWS CloudTrail los registros.
Para obtener información sobre la justificación del acceso, los activadores y los iniciadores de los activadores, consulteActivadores de acceso a la cuenta de cliente de AMS.
¿Qué funciones asumen los ingenieros de operaciones de AMS cuando acceden a mis cuentas?
En los raros casos (aproximadamente un 5%) que requieren la intervención humana en su entorno, los ingenieros de operaciones de AMS inician sesión en su cuenta con un rol de acceso predeterminado de solo lectura. El rol predeterminado no tiene acceso a ningún contenido que se almacene habitualmente en almacenes de datos, como Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift y Amazon. ElastiCache
Para obtener una lista de las funciones que los ingenieros de operaciones y sistemas de AMS necesitan para prestar servicios en su cuenta, consulte. Funciones de IAM para el acceso a la cuenta de los clientes de AMS
¿Cómo accede un ingeniero de operaciones de AMS a mi cuenta?
Para acceder a las cuentas de los clientes, los ingenieros de operaciones de AMS utilizan un servicio de acceso AWS interno a AMS. Este servicio interno solo está disponible a través de un canal privado y seguro para que el acceso a sus cuentas sea seguro y esté auditado.
Los ingenieros de operaciones de AMS utilizan la autenticación interna del servicio de acceso AMS junto con una autenticación de dos factores. Además, el ingeniero de operaciones debe proporcionar una justificación empresarial (ticket de incidente o identificador de solicitud de servicio) en la que se describa la necesidad de acceder a su AWS cuenta.
En función de la autorización del ingeniero de operaciones, el servicio de acceso a AMS proporciona al ingeniero la función adecuada (lecturaonly/Operator/Admin) y la URL de inicio de sesión en la AWS consola. El acceso a su cuenta es de corta duración y tiene un límite de tiempo.
Para acceder a las EC2 instancias de Amazon, los ingenieros de operaciones de AMS utilizan el mismo servicio de acceso interno a AMS que el intermediario. Una vez concedido el acceso, los ingenieros de operaciones de AMS suelen acceder AWS Systems Manager Session Manager a las instancias con credenciales de sesión de corta duración.
Para proporcionar acceso RDP a las instancias de Windows, el ingeniero de operaciones utiliza Amazon EC2 Systems Manager para crear un usuario local en la instancia y establecer el reenvío de puertos a la instancia. El ingeniero de operaciones utiliza las credenciales de usuario local para el acceso RDP a la instancia. Las credenciales del usuario local se eliminan al final de la sesión.
El siguiente diagrama describe el proceso utilizado por los ingenieros de operaciones de AMS para acceder a su cuenta:
¿Cómo hago un seguimiento de los cambios realizados por AMS en mis AWS cuentas gestionadas por AMS?
Acceso a la cuenta
Para ayudarlo a realizar un seguimiento de los cambios realizados por la automatización o por el equipo de operaciones de AMS Accelerate, AMS proporciona la interfaz SQL de registros de cambios en la consola de Amazon Athena y los registros de AMS Accelerate. Estos recursos proporcionan la siguiente información:
Quién accedió a tu cuenta.
Cuándo se accedió a la cuenta.
Qué privilegios se utilizaron para acceder a su cuenta.
Qué cambios realizó AMS Accelerate en su cuenta.
Por qué se realizaron los cambios en su cuenta.
Configuración de recursos
Consulte CloudTrail los registros para realizar un seguimiento de las configuraciones de sus AWS recursos durante los últimos 90 días. Si su configuración tiene más de 90 días, acceda a los registros en Amazon S3.
Registros de instancias
El Amazon CloudWatch Agent recopila los registros del sistema operativo. Consulte los CloudWatch registros para ver los registros de inicio de sesión y otros registros de acciones compatibles con su sistema operativo.
Para obtener más información, consulte Seguimiento de los cambios en sus cuentas de AMS Accelerate.
¿Cuáles son los controles de proceso para que el ingeniero de operaciones de AMS acceda a mi cuenta?
Antes de unirse a AMS, los ingenieros de operaciones pasan por una verificación de antecedentes penales. Como los ingenieros de AMS administran la infraestructura de los clientes, también tienen una verificación de antecedentes anual obligatoria. Si un ingeniero no pasa la verificación de antecedentes, se revoca el acceso.
Todos los ingenieros de operaciones de AMS deben completar una formación obligatoria en materia de seguridad, como la seguridad de la infraestructura, la seguridad de los datos y la respuesta a incidentes antes de que se les conceda acceso a los recursos.
¿Cómo se gestiona el acceso privilegiado?
Un subconjunto de usuarios debe completar una formación adicional y mantener los derechos de acceso privilegiados para un acceso elevado. El acceso y el uso se inspeccionan y auditan. AMS limita el acceso privilegiado a circunstancias excepcionales o cuando el acceso con privilegios mínimos no puede satisfacer su solicitud. El acceso privilegiado también tiene un límite de tiempo.
¿Los ingenieros de operaciones de AMS utilizan MFA?
Sí. Todos los usuarios deben usar MFA y Proof of Presence para prestarle servicios.
¿Qué ocurre con su acceso cuando un empleado de AMS deja la organización o cambia de puesto?
El acceso a las cuentas y los recursos de los clientes se proporciona mediante la pertenencia a grupos internos. La membresía se basa en criterios estrictos, como el puesto de trabajo específico, el responsable jerárquico y la situación laboral en AMS. Si la familia laboral de un ingeniero de operaciones cambia o su seudónimo está deshabilitado, se revoca el acceso.
¿Qué controles de acceso regulan el acceso de los ingenieros de operaciones de AMS a mis cuentas?
Existen varios niveles de controles técnicos para hacer cumplir los principios de «necesidad de información» y «privilegio mínimo» para el acceso a su entorno. La siguiente es una lista de los controles de acceso:
Todos los ingenieros de operaciones deben formar parte de un AWS grupo interno específico para acceder a las cuentas y los recursos de los clientes. La pertenencia a un grupo se basa estrictamente en la necesidad de conocimiento y se automatiza con criterios predefinidos.
AMS practica el acceso «no persistente» a su entorno. Esto significa que las operaciones de AMS acceden a sus AWS cuentas «just-in-time» con credenciales de corta duración. El acceso a sus cuentas solo se proporciona después de que se haya presentado y revisado una justificación interna del caso empresarial (solicitud de servicio, incidente, solicitud de gestión de cambios, etc.).
AMS sigue el principio del mínimo privilegio. Por lo tanto, los ingenieros de operaciones autorizados asumen el acceso de solo lectura de forma predeterminada. Los ingenieros solo utilizan el acceso de escritura cuando es necesario realizar cambios en el entorno debido a un incidente o a una solicitud de cambio.
AMS utiliza AWS Identity and Access Management funciones estándar y fácilmente identificables que utilizan el prefijo «ams» para supervisar y gestionar sus cuentas. Todos los accesos están registrados AWS CloudTrail para que puedas auditarlos.
AMS utiliza herramientas de back-end automatizadas para detectar los cambios no autorizados en su cuenta durante la fase de validación de la información del cliente tras la ejecución de los cambios.
¿Cómo monitorea AMS el acceso de los usuarios root?
El acceso root siempre activa el proceso de respuesta a los incidentes. AMS usa la GuardDuty detección de Amazon para monitorear la actividad de los usuarios root. Si GuardDuty genera una alerta, AMS crea un evento para una investigación más profunda. AMS le notifica si se detecta una actividad inesperada en la cuenta raíz y el equipo de seguridad de AMS inicia una investigación.
¿Cómo responde AMS a los incidentes de seguridad?
AMS investiga los eventos de seguridad que se generan a partir de servicios de detección como Amazon o Amazon GuardDuty Macie y a partir de problemas de seguridad informados por los clientes. AMS colabora con su equipo de respuesta de seguridad para ejecutar el proceso de respuesta a incidentes de seguridad (SIR). El proceso SIR de AMS se basa en el marco de la guía de gestión de incidentes de seguridad informática de la NIST SP 800-61 Rev. 2, y proporciona una respuesta de seguridad 24 horas
¿A qué marcos y certificaciones estándares del sector se adhiere AMS?
Al igual que otros AWS servicios, AWS Managed Services cuenta con la certificación OSPAR, HIPAA, HITRUST, GDPR, SOC*, ISO*, FedRAMP (Medium/High), IRAP y PCI. Para obtener más información sobre las certificaciones, los reglamentos y los marcos de conformidad de los clientes a los que AWS se ajusta, consulte AWS Compliance
Barandillas de seguridad
AWS Managed Services utiliza varios controles para proteger sus activos de información y ayudarle a mantener segura su AWS infraestructura. AMS Accelerate mantiene una biblioteca de AWS Config normas y medidas correctivas para ayudarle a garantizar que sus cuentas cumplen con los estándares del sector en materia de seguridad e integridad operativa. AWS Config las reglas realizan un seguimiento continuo de los cambios en la configuración de los recursos registrados. Si un cambio infringe las condiciones de una regla, AMS le informará de sus conclusiones. Puede subsanar las infracciones automáticamente o mediante solicitud, en función de la gravedad de la infracción.
AMS utiliza AWS Config reglas para ayudar a cumplir los requisitos de las siguientes normas:
Centro de Seguridad de Internet (CIS)
Marco de seguridad en la nube (CSF) del Instituto Nacional de Estándares y Tecnología (NIST)
Ley de Portabilidad y Responsabilidad de Seguros Médicos de EE. UU (Health Insurance Portability and Accountability Act, HIPAA).
Estándar de seguridad de datos (DSS) de la industria de tarjetas de pago (PCI)
Para obtener más información, consulte Gestión de la seguridad en AMS Accelerate
¿Cómo puedo acceder a los informes más recientes sobre la certificación, los marcos y el cumplimiento de la seguridad? AWS
Puede encontrar los informes de seguridad y conformidad actuales de AWS los servicios mediante los siguientes métodos:
Puede utilizarlos AWS Artifact
para descargar el informe más reciente sobre la seguridad, la disponibilidad y la confidencialidad de un AWS servicio. Para obtener una lista de la mayoría de AWS los servicios, incluidos AWS Managed Services, que cumplen con los marcos de conformidad globales, consultehttps://aws.amazon.com/compliance/services-in-scope/
. Por ejemplo, seleccione PCI y busque AWS Managed Services. Puede buscar «AMS» para encontrar artefactos de seguridad específicos de AMS en una AWS cuenta gestionada por AMS. AWS Managed Services está dentro del ámbito de aplicación del SOC 3
. El informe AWS SOC 2 (System and Organizations Controls) se publica en el AWS Artifact repositorio. Este informe evalúa los AWS controles que cumplen los criterios de seguridad, disponibilidad y confidencialidad establecidos en la sección 100 del TSP del Instituto Estadounidense de Contadores Públicos Certificados (AICPA), titulada «Criterios de servicios de confianza».
¿Comparte AMS diagramas de arquitectura de referencia sobre los distintos aspectos de las funciones de AMS?
Para ver la arquitectura de referencia de AMS, descargue el PDF AWS Managed Services for Proactive Monitoring.
¿Cómo controla AMS quién accede a mis cuentas y qué necesita la empresa para acceder a ellas?
Para garantizar la continuidad del servicio y la seguridad de sus cuentas, AMS accede a su cuenta o a sus instancias únicamente en respuesta a problemas proactivos de salud o mantenimiento, eventos relacionados con el estado o la seguridad, actividades planificadas o solicitudes de los clientes. El acceso a sus cuentas está autorizado mediante los procesos de AMS, tal como se describe en el modelo de acceso de AMS Accelerate. Estos flujos de autorización contienen barreras de protección para evitar el acceso inadvertido o inapropiado. Como parte del flujo de acceso, AMS suministra el sistema de autorización para una necesidad empresarial. Esta necesidad empresarial puede ser un elemento de trabajo asociado a su cuenta, como un caso que haya abierto en AMS. O bien, la necesidad empresarial puede ser un flujo de trabajo autorizado, como la solución de parches. Todos los accesos requieren una justificación que los sistemas AMS internos validen, verifiquen y autoricen en tiempo real y se basen en normas empresariales para adaptar las solicitudes de acceso a las necesidades de la empresa.
Los ingenieros de operaciones de AMS no disponen de una forma de acceder a tus cuentas sin requisitos empresariales válidos. Todos los accesos a las cuentas y las necesidades empresariales asociadas se registran en las AWS CloudTrail entradas de sus AWS cuentas. Esto proporciona una transparencia total y la oportunidad de realizar su propia auditoría e inspección. Además de su inspección, AMS tiene inspecciones automatizadas y realiza inspecciones manuales, según sea necesario, de las solicitudes de acceso, y audita las herramientas y el acceso humano para revisar los accesos anómalos.
¿Los ingenieros de AMS tienen acceso a mis datos almacenados en un servicio de almacenamiento de AWS datos, como Amazon S3, Amazon RDS, DynamoDB y Amazon Redshift?
Los ingenieros de AMS no tienen acceso al contenido de los clientes almacenado en AWS los servicios que se utilizan habitualmente para el almacenamiento de datos. El acceso a los datos AWS APIs utilizados para leer, escribir, modificar o eliminar datos en estos servicios está restringido por una política explícita de denegación de IAM asociada a las funciones de IAM utilizadas para el acceso de los ingenieros de AMS. Además, las barandillas internas y las automatizaciones de AMS impiden que los ingenieros de operaciones de AMS eliminen o modifiquen las condiciones de denegación.
¿Los ingenieros de AMS tienen acceso a los datos de los clientes almacenados en Amazon EBS, Amazon EFS y Amazon FSx?
Los ingenieros de AMS pueden iniciar sesión en EC2 las instancias de Amazon como administradores. El acceso de administrador es necesario para solucionar algunos casos, entre los que se incluyen, entre otros, los problemas del sistema operativo (SO) y los errores de los parches. Los ingenieros de AMS suelen acceder al volumen del sistema para solucionar los problemas detectados. Sin embargo, el acceso de los ingenieros de AMS no está limitado ni restringido al volumen del sistema.
¿Cómo se restringe o controla el acceso a los puestos de automatización que tienen altos privilegios en mis entornos?
El ams-access-admin rol lo utiliza exclusivamente AMS Automation. Estas automatizaciones implementan, administran y mantienen los recursos necesarios que AMS utiliza para implementarlos en sus entornos con el fin de recopilar datos de telemetría, estado y seguridad para realizar funciones operativas. Los ingenieros de AMS no pueden asumir funciones de automatización y están restringidos por la asignación de funciones en los sistemas internos. En tiempo de ejecución, AMS aplica de forma dinámica una política de sesiones con privilegios mínimos restringida a cada automatización. Esta política de sesión limita la capacidad y los permisos de la automatización.
¿Cómo implementa AMS el principio del mínimo privilegio tal como se propugna en el AWS Well-Architected Framework para las funciones de automatización?
En tiempo de ejecución, AMS aplica una política de sesión limitada y con privilegios mínimos a cada automatización. Esta política de sesión restringida limita la capacidad y los permisos de la automatización. Las políticas de sesión que tienen permisos para crear recursos de IAM también tienen el requisito de adjuntar un límite de permisos. Este límite de permisos reduce el riesgo de escalada de privilegios. Cada equipo incorpora una política de sesión que solo utiliza ese equipo.
¿Qué sistemas de registro y supervisión se utilizan para detectar intentos de acceso no autorizados o actividades sospechosas relacionadas con funciones de automatización?
AWS mantiene repositorios centralizados que proporcionan una funcionalidad básica de archivo de registros para uso interno de los equipos de AWS servicio. Estos registros se almacenan en Amazon S3 para ofrecer una alta escalabilidad, durabilidad y disponibilidad. AWS Luego, los equipos de servicio pueden recopilar, archivar y ver los registros de servicio en un servicio de registro central.
Los hosts de producción AWS se implementan mediante imágenes de referencia maestras. Las imágenes de referencia están equipadas con un conjunto estándar de configuraciones y funciones que incluyen el registro y la supervisión por motivos de seguridad. Los equipos de AWS seguridad almacenan estos registros y pueden acceder a ellos para analizar la causa raíz en caso de que se sospeche que se ha producido un incidente de seguridad.
Los registros de un anfitrión determinado están disponibles para el equipo propietario de ese anfitrión. Los equipos pueden buscar en sus registros un análisis operativo y de seguridad.
¿Cómo se gestionan los incidentes o brechas de seguridad relacionados con la infraestructura de automatización y qué protocolos ayudan a responder y mitigar con rapidez?
AWS Los planes de contingencia y los manuales de respuesta a incidentes han definido y probado herramientas y procesos para detectar, mitigar, investigar y evaluar los incidentes de seguridad. Estos planes y manuales incluyen directrices para responder a posibles violaciones de datos de conformidad con los requisitos contractuales y reglamentarios.
¿Se realizan periódicamente evaluaciones de seguridad, análisis de vulnerabilidades y pruebas de penetración en la infraestructura de automatización?
AWS El departamento de seguridad realiza análisis de vulnerabilidades periódicos en los sistemas operativos, las aplicaciones web y las bases de datos del AWS entorno host mediante una variedad de herramientas. AWS Los equipos de seguridad también se suscriben a las fuentes de noticias para detectar las posibles averías de los proveedores y supervisan de forma proactiva los sitios web de los proveedores y otros medios relevantes para detectar nuevos parches.
¿Cómo se restringe el acceso a la infraestructura de automatización únicamente al personal autorizado?
El acceso a AWS los sistemas se asigna en función del mínimo privilegio y lo aprueba una persona autorizada. Las funciones y áreas de responsabilidad (por ejemplo, la solicitud y aprobación del acceso, la solicitud y aprobación de la gestión de cambios, el desarrollo, las pruebas y el despliegue, etc.) están segregados entre diferentes personas para reducir la modificación no autorizada o involuntaria o el uso indebido de los sistemas. AWS No se permiten cuentas grupales o compartidas dentro de los límites del sistema.
¿Qué medidas se implementan para mantener los estándares de seguridad y evitar el acceso no autorizado o las filtraciones de datos en el proceso de automatización?
El propietario o administrador correspondiente aprueba el acceso a los recursos, incluidos los servicios, los hosts, los dispositivos de red y los grupos de Windows y UNIX, mediante el sistema de administración de permisos AWS patentado. El registro de la herramienta de administración de permisos captura las solicitudes de cambios de acceso. Los cambios en las funciones de trabajo revocan automáticamente el acceso del empleado a los recursos. Se debe solicitar y aprobar el acceso continuo de ese empleado.
AWS requiere una autenticación de dos factores a través de un canal criptográfico aprobado para la autenticación en la AWS red interna desde ubicaciones remotas. Los dispositivos de firewall restringen el acceso al entorno informático, refuerzan los límites de los clústeres informáticos y restringen el acceso a las redes de producción.
Los procesos se implementan para proteger la información y las herramientas de auditoría contra el acceso, la modificación y la eliminación no autorizados. Los registros de auditoría contienen un conjunto de elementos de datos para respaldar los requisitos de análisis necesarios. Además, los registros de auditoría están disponibles para que los usuarios autorizados los inspeccionen o analicen cuando lo soliciten y en respuesta a eventos relacionados con la seguridad o que afecten a la empresa.
Los derechos de acceso de los usuarios a los AWS sistemas (por ejemplo, redes, aplicaciones, herramientas, etc.) se revocan en un plazo de 24 horas a partir de la finalización o desactivación. Las cuentas de usuario inactivas se desactivan y and/or se eliminan al menos cada 90 días.
¿Están activadas la detección o el monitoreo de anomalías para el acceso o el registro de auditoría para detectar el aumento de privilegios o el uso indebido del acceso a fin de alertar proactivamente al equipo de AMS?
Los hosts de producción AWS están equipados con un sistema de registro por motivos de seguridad. Este servicio registra las acciones humanas en los hosts, incluidos los inicios de sesión, los intentos de inicio de sesión fallidos y los cierres de sesión. Los equipos de AWS seguridad almacenan estos registros y pueden acceder a ellos para analizar la causa raíz en caso de que se sospeche que se ha producido un incidente de seguridad. Los registros de un anfitrión determinado también están disponibles para el equipo propietario de ese anfitrión. Los equipos de servicio disponen de una herramienta preliminar de análisis de registros que les permite buscar en sus registros un análisis operativo y de seguridad. Los procesos se implementan para ayudar a proteger los registros y las herramientas de auditoría contra el acceso, la modificación y la eliminación no autorizados. El equipo AWS de seguridad realiza un análisis de los registros para identificar los eventos en función de los parámetros de gestión de riesgos definidos.
¿Qué tipos de datos de clientes se extraen de las cuentas gestionadas por AMS y cómo se utilizan y almacenan?
AMS no accede a su contenido ni lo utiliza para ningún propósito. AMS define el contenido del cliente como el software (incluidas las imágenes de las máquinas), los datos, el texto, el audio, el vídeo o las imágenes que un cliente o cualquier usuario final transfiere AWS para su procesamiento, almacenamiento o alojamiento Servicios de AWS en relación con la cuenta de un cliente, y cualquier resultado computacional que un cliente o su usuario final obtenga de lo anterior mediante el uso que haga de Servicios de AWSél.
