Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Seguridad y conformidad
La seguridad y el cumplimiento son una responsabilidad compartida entre AMS Advanced y usted, como cliente nuestro. El modo AMS Advanced Direct Change no modifica esta responsabilidad compartida.
Seguridad en el modo Direct Change
AMS Advanced ofrece un valor adicional con una landing zone prescriptiva, un sistema de gestión de cambios y una gestión de acceso. Cuando se utiliza el modo Direct Change, este modelo de responsabilidad no cambia. Sin embargo, debe tener en cuenta los riesgos adicionales.
La función de «actualización» del modo Direct Change Mode (consulteFunciones y políticas de IAM del modo Direct Change) proporciona permisos elevados que permiten a la entidad con acceso a ella realizar cambios en los recursos de infraestructura de los servicios compatibles con AMS de su cuenta. Con el aumento de los permisos, existen diversos riesgos en función del recurso, el servicio y las acciones, especialmente en situaciones en las que se realiza un cambio incorrecto debido a un descuido, un error o una falta de cumplimiento del marco interno de procesos y control.
Según las normas técnicas de la AMS, se han identificado los siguientes riesgos y se formulan las siguientes recomendaciones. La información detallada sobre las normas técnicas de AMS está disponible en AWS Artifact. Para acceder AWS Artifact, póngase en contacto con su CSDM para obtener instrucciones o vaya a Primeros pasos
AMS-STD-001: Etiquetado
| Estándares | ¿Se rompe | Riesgos | Recomendaciones |
|---|---|---|---|
| Todos los recursos propiedad de AMS deben tener el siguiente par clave-valor | Sí. Se interrumpe para CloudFormation la API EFS OpenSearch, CloudWatch Logs, SQS, SSM y Tagging, ya que estos servicios no admiten la El estándar que aparece a continuación en la tabla AMS-STD-003 establece que se puede cambiar AppId el entorno y, pero no los recursos que son propiedad de AMS. AppName No se puede lograr con los permisos de IAM. |
El etiquetado incorrecto de los recursos de AMS puede afectar negativamente a las operaciones de generación de informes, alertas y parches de sus recursos, por parte de AMS. | El acceso debe estar restringido para realizar cambios en los requisitos de etiquetado predeterminados de AMS para cualquier persona que no sea un equipo de AMS. |
Todas las etiquetas propiedad de AMS, distintas de las enumeradas anteriormente, deben tener prefijos iguales o iguales a mayúsculas y minúsculas. AMS* MC* upper/lower/mix | |||
| No debes eliminar ninguna etiqueta de las pilas propiedad de AMS en función de tus solicitudes de cambio. | Sí. CloudFormation no admite la aws:TagsKey condición de restringir las etiquetas del espacio de nombres AMS. | ||
| No está permitido utilizar la convención de nomenclatura de etiquetas AMS en su infraestructura, tal y como se indica en la siguiente tabla AMS-STD-002. | Sí. Interrupciones para CloudFormation Amazon Elastic File System (EFS) OpenSearch, CloudWatch Logs, Amazon Simple Queue Service (SQS), Amazon EC2 Systems Manager (SSM) y Tagging API; estos servicios no aws:TagsKey admiten la condición de restringir el etiquetado en el espacio de nombres AMS. CloudTrail |
AMS-STD-002: Identity and Access Management (IAM) MexiAM)
| Estándares | ¿Se rompe | Riesgos | Recomendaciones |
|---|---|---|---|
| 4.7 No se deben permitir acciones que eludan el proceso de administración de cambios (RFC), como iniciar o detener una instancia, crear buckets de S3 o instancias de RDS, etc. Las cuentas en modo desarrollador y los servicios en modo aprovisionado de autoservicio (SSPS) están exentos siempre que las acciones se realicen dentro de los límites de la función asignada. | Sí. El objetivo de las acciones de autoservicio es permitir realizar acciones sin tener en cuenta el sistema RFC de AMS. |
El modelo de acceso seguro es una faceta técnica fundamental de AMS, y un usuario de IAM para el acceso programático o mediante consola elude este control de acceso. El sistema de gestión de cambios de AMS no supervisa el acceso de los usuarios de IAM. CloudTrail Solo se inicia sesión en el acceso. | El usuario de IAM debe tener un límite de tiempo y concederse los permisos en función del mínimo privilegio y. need-to-know |
AMS-STD-003: Seguridad de red
| Estándares | ¿Se rompe | Riesgos | Recomendaciones |
|---|---|---|---|
| S2. La IP elástica en EC2 las instancias solo debe usarse con un acuerdo formal de aceptación del riesgo o con un caso de uso válido por parte de los equipos internos. | Sí. Las acciones de autoservicio permiten asociar y desasociar direcciones IP elásticas (EIP). |
Al agregar una IP elástica a una instancia, se expone a Internet. Esto aumenta el riesgo de divulgación de información y de actividad no autorizada. | Bloquee todo el tráfico innecesario que se dirija a esa instancia a través de grupos de seguridad y compruebe que sus grupos de seguridad estén asociados a la instancia para asegurarse de que solo permite el tráfico cuando sea necesario por motivos empresariales. |
| S14. Se pueden permitir el emparejamiento de VPC y las conexiones de punto final entre cuentas que pertenecen al mismo cliente. | Sí. No es posible mediante la política de IAM. |
El tráfico que sale de su cuenta de AMS no se monitorea una vez que sale del límite de la cuenta. | Te recomendamos que realices el emparejamiento únicamente con las cuentas de AMS de tu propiedad. Si su caso de uso lo requiere, utilice grupos de seguridad y tablas de enrutamiento para limitar los rangos, recursos y tipos de tráfico que pueden salir a través de la conexión correspondiente. |
| La base de AMS se AMIs puede compartir entre cuentas administradas y no administradas por AMS, siempre que podamos comprobar que pertenecen a la misma organización. AWS | AMIs puede contener datos confidenciales y puede estar expuesto a cuentas no deseadas. | AMIs Compártelos únicamente con la cuenta que sea propiedad de tu organización o valida el caso de uso y la información de la cuenta antes de compartirlos con personas ajenas a la organización. |
AMS-STD-007: Registro
| Estándares | ¿Se rompe | Riesgos | Recomendaciones |
|---|---|---|---|
| 19. Cualquier registro se puede reenviar de una cuenta de AMS a otra cuenta de AMS del mismo cliente. | Sí. La política de IAM no permite verificar que las cuentas de los clientes pertenezcan a la misma organización, ya que no es posible verificar que las cuentas de los clientes pertenezcan a la misma organización. |
Los registros pueden contener datos confidenciales y pueden estar expuestos a cuentas no deseadas. | Comparta los registros únicamente con las cuentas administradas por su AWS organización o valide el caso de uso y la información de la cuenta antes de compartirlos fuera de su organización. Podemos verificarlo de varias maneras: consulte con su administrador de prestación de servicios en la nube (CSDM). |
| 20. Cualquier registro puede reenviarse de AMS a una cuenta ajena a AMS únicamente si la cuenta ajena a AMS es propiedad del mismo cliente de AMS (confirmando que se encuentra bajo la misma AWS Organizations cuenta o haciendo coincidir el dominio de correo electrónico con el nombre de la empresa del cliente y la cuenta vinculada al PAGADOR) mediante herramientas internas. |
Trabaje con su equipo interno de autorización y autenticación para controlar en consecuencia los permisos de las funciones del modo Direct Change.
Cumplimiento en el modo Direct Change
El modo Direct Change es compatible con cargas de trabajo tanto de producción como de no producción. Es su responsabilidad garantizar el cumplimiento de cualquier norma de conformidad (por ejemplo, PHI, HIPAA o PCI) y asegurarse de que el uso del modo Direct Change cumpla con sus marcos y estándares de control interno.
