Protección de datos en AMS - Guía de usuario avanzada de AMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en AMS

AMS supervisa continuamente sus cuentas gestionadas mediante el uso de AWS servicios nativos como Amazon GuardDuty, Amazon Macie (opcional) y otras herramientas y procesos internos patentados. Una vez que se activa una alarma, AMS asume la responsabilidad de la clasificación inicial y de la respuesta a la alarma. Nuestros procesos de respuesta se basan en los estándares del NIST. AMS pone a prueba periódicamente sus procesos de respuesta utilizando la simulación de respuesta a incidentes de seguridad para alinear su flujo de trabajo con los programas de respuesta de seguridad existentes para los clientes.

Cuando AMS detecta cualquier infracción o amenaza inminente de infracción de sus políticas de AWS seguridad, recopilamos información, incluidos los recursos afectados y cualquier cambio relacionado con la configuración. AMS ofrece follow-the-sun asistencia las 24 horas del día, los 7 días de la semana, los 365 días del año, con operadores especializados que revisan e investigan activamente los paneles de supervisión, la lista de incidentes y las solicitudes de servicio en todas sus cuentas gestionadas. AMS investiga los resultados con nuestros expertos en seguridad para analizar la actividad y comunicártelo a través de los contactos de intensificación de la seguridad que figuran en tu cuenta.

Basándose en nuestras conclusiones, AMS interactúa con usted de forma proactiva. Si cree que la actividad no está autorizada o es sospechosa, AMS trabaja con usted para investigar y solucionar el problema o contener el problema. Existen determinados tipos de conclusiones GuardDuty que requieren que confirme el impacto antes de que AMS pueda tomar alguna medida. Por ejemplo, el tipo de GuardDuty búsqueda UnauthorizedAccess:IAMUser/ConsoleLogin, indica que uno de tus usuarios ha iniciado sesión desde una ubicación inusual; AMS te lo notifica y te pide que revises el hallazgo para confirmar si este comportamiento es legítimo.

Amazon Macie

AWS Managed Services recomienda utilizar Macie para detectar una lista amplia y completa de datos confidenciales, como información de salud personal (PHI), información de identificación personal (PII) y datos financieros.

Macie se puede configurar para que se ejecute periódicamente en cualquier bucket de Amazon S3, lo que automatiza la evaluación de cualquier objeto nuevo o modificado dentro de un bucket a lo largo del tiempo. A medida que se generen problemas de seguridad, AMS se lo notificará y colaborará con usted para solucionarlos según sea necesario.

Para obtener más información, consulte Análisis de los hallazgos de Amazon Macie.

Seguridad de Amazon Macie

Macie es un servicio de seguridad intelligence/AI con tecnología artificial que le ayuda a evitar la pérdida de datos al descubrir, clasificar y proteger automáticamente los datos confidenciales almacenados en AWS. Macie utiliza el aprendizaje automático para reconocer datos confidenciales, como la información de identificación personal (PII) o la propiedad intelectual, asigna un valor empresarial y proporciona visibilidad sobre dónde se almacenan estos datos y cómo se utilizan en su organización. Macie supervisa continuamente la actividad de acceso a los datos para detectar anomalías y envía alertas cuando detecta un riesgo de acceso no autorizado o de fugas inadvertidas de datos. El servicio Macie es compatible con Amazon S3 y fuentes AWS CloudTrail de datos.

AMS monitorea continuamente las alertas de Macie y, si recibe una alerta, toma medidas rápidas para proteger sus recursos y su cuenta. Con la incorporación de Macie a la lista de servicios compatibles con AMS, ahora también somos responsables de habilitar y configurar Macie en todas sus cuentas, según sus instrucciones. Puede ver las alertas de Macie y nuestras acciones a medida que se despliegan en la consola de AWS o en las integraciones compatibles. Durante la incorporación de la cuenta, puede indicar las cuentas que utiliza para almacenar su información de identificación personal. Para todas las cuentas nuevas con PII, te recomendamos usar Macie. En el caso de las cuentas existentes con información de identificación personal, ponte en contacto con nosotros y la activaremos en tu cuenta. Como resultado, puede disponer de una capa de protección adicional y disfrutar de todas las ventajas de Macie en su entorno de AWS gestionado por AMS.

AMS Macie FAQs

  • ¿Por qué necesito a Macie si todas las cuentas de AMS tienen Trend Micro y GuardDuty están activadas?

    Macie lo ayuda a proteger sus datos en Amazon S3 al ayudarlo a clasificar los datos que tiene, el valor que tienen para la empresa y el comportamiento asociado con el acceso a esos datos. Amazon GuardDuty ofrece una amplia protección de sus cuentas, cargas de trabajo y datos de AWS, ya que le ayuda a identificar amenazas como el reconocimiento de los actores de amenazas, los problemas de instancias y la actividad problemática de la cuenta. Ambos servicios incorporan el análisis del comportamiento de los usuarios, el aprendizaje automático y la detección de anomalías para detectar las amenazas en sus respectivas categorías. Trend Micro no se centra en identificar la PII ni las amenazas derivadas de la misma.

  • ¿Cómo activo Macie en mi cuenta de AMS?

    Si lo has PII/PHI guardado en tus cuentas o tienes pensado guardarlo, ponte en contacto con tu CSDM o envía una solicitud de servicio para habilitar Macie en tus cuentas nuevas o existentes gestionadas por AMS.

  • ¿Cuáles son las implicaciones económicas de habilitar Macie en mi cuenta de AMS?

    Los precios de Macie funcionan para AMS de forma similar a otros servicios, como Amazon Elastic Compute Cloud (Amazon EC2). Pagas por Amazon Macie en función del uso y un aumento de AMS en función del tuyo. SLAs Las tarifas de Macie se basan en el uso; consulte los precios de Amazon Macie, que se miden AWS CloudTrail en función de los eventos y del almacenamiento de Amazon S3. Ten en cuenta que los cargos de Macie tienden a estabilizarse a partir del segundo mes después de su activación, ya que se cobran en función de los datos incrementales que se añaden a los buckets de Amazon S3.

Para obtener más información sobre Macie, consulte Amazon Macie.

GuardDuty

GuardDuty es un servicio de supervisión continua de la seguridad que utiliza fuentes de inteligencia sobre amenazas, como listas de direcciones IP y dominios maliciosos, y aprendizaje automático para identificar actividades inesperadas, potencialmente no autorizadas y maliciosas en su entorno de AWS. Esto puede incluir problemas como la escalada de privilegios, el uso de credenciales expuestas o la comunicación con direcciones IP o dominios maliciosos. GuardDuty también supervisa el comportamiento de acceso a las cuentas de Amazon Web Services para detectar señales de peligro, como despliegues de infraestructura no autorizados, como instancias implementadas en una región que nunca se ha utilizado, o llamadas inusuales a la API, como un cambio en la política de contraseñas para reducir la seguridad de las contraseñas. Para obtener más información, consulte la Guía del GuardDuty usuario.

Para ver y analizar sus GuardDuty hallazgos, utilice el siguiente procedimiento.

  1. Abra la consola de GuardDuty .

  2. Elija Hallazgos y, a continuación, elija un hallazgo específico para ver los detalles. Los detalles de cada hallazgo varían según el tipo de hallazgo, los recursos involucrados y la naturaleza de la actividad.

Para obtener más información sobre los campos de búsqueda disponibles, consulte los detalles de GuardDuty búsqueda.

GuardDuty seguridad

Amazon GuardDuty ofrece una detección de amenazas que le permite supervisar y proteger de forma continua sus cuentas y cargas de trabajo de AWS. Amazon GuardDuty analiza los flujos continuos de metadatos generados a partir de la actividad de su cuenta y red que se encuentran en AWS CloudTrail los eventos, los registros de flujo de Amazon VPC y los registros del Sistema de nombres de dominio (DNS). También utiliza inteligencia de amenazas integrada, como direcciones IP maliciosas conocidas, detección de anomalías y aprendizaje automático, para identificar las amenazas con mayor precisión. GuardDuty es un servicio AMS supervisado. Para obtener más información sobre la GuardDuty supervisión de Amazon, consultaGuardDuty supervisión. Para obtener más información GuardDuty, consulta Amazon GuardDuty.

Todas las cuentas AMS nuevas están GuardDuty habilitadas de forma predeterminada. AMS se configura GuardDuty durante la incorporación de la cuenta. Puede enviar solicitudes de cambio para modificar la configuración en cualquier momento. GuardDuty Los precios funcionan para AMS de forma similar a otros servicios, como Amazon Elastic Compute Cloud (Amazon EC2). Usted paga en GuardDuty función del uso y un aumento de AMS en función del suyo. SLAs GuardDuty las tarifas se basan en el uso ( GuardDuty precios de Amazon) y se miden en función de AWS CloudTrail los eventos y el volumen del registro de flujo de Amazon VPC.

GuardDuty En el caso de AMS, están habilitadas las siguientes categorías de detección principales:

  • Reconocimiento: actividad que sugiere el reconocimiento por parte de un agente de amenazas, como una actividad inusual de la API, el escaneo de puertos dentro de la VPC, patrones inusuales de solicitudes de inicio de sesión fallidas o el sondeo de puertos desbloqueado desde una IP defectuosa conocida.

  • Problema de instancia: actividad problemática de las instancias, como la minería de criptomonedas, el malware que utiliza algoritmos de generación de dominios (DGA), la actividad de denegación de servicio saliente, el volumen de tráfico de red inusualmente alto, los protocolos de red inusuales, la comunicación de la instancia saliente con una IP maliciosa conocida, EC2 las credenciales temporales de Amazon utilizadas por una dirección IP externa y la exfiltración de datos mediante DNS.

  • Actividad de la cuenta: los patrones comunes que indican la actividad de la cuenta incluyen las llamadas a la API desde un proxy de geolocalización o anonimización inusual, los intentos de deshabilitar el AWS CloudTrail registro, los lanzamientos de instancias o infraestructuras inusuales, las implementaciones de infraestructura en una región de AWS inusual y las llamadas a la API desde direcciones IP maliciosas conocidas.

AMS utiliza las cuentas gestionadas para supervisar de forma continua los hallazgos y alertas procedentes de ellas y, GuardDuty en caso de recibir alertas, las operaciones de AMS toman medidas proactivas para proteger sus recursos GuardDuty y su cuenta. Puede ver GuardDuty los resultados y nuestras acciones a medida que se van desarrollando en la consola de AWS o en las integraciones compatibles.

GuardDuty funciona con Trend Micro Deep Security Manager en su cuenta. Trend Micro Deep Security Manager ofrece servicios de detección y prevención de intrusiones basados en el host. Los servicios de reputación web de Trend Micro se solapan GuardDuty en cierta medida con la capacidad de detectar cuándo un host intenta comunicarse con un host o servicio web que se sabe que representa una amenaza. Sin embargo, GuardDuty proporciona categorías de detección de amenazas adicionales y, para ello, supervisa el tráfico de la red, un método que complementa la detección basada en el host de Trend Micro. La detección de amenazas basada en la red permite aumentar la seguridad, ya que no permite que los controles fallen si el anfitrión presenta un comportamiento problemático. AMS recomienda usarlo GuardDuty en todas sus cuentas de AMS.

Para obtener más información sobre Trend Micro, consulte el Centro de ayuda de Trend Micro Deep Security; tenga en cuenta que los enlaces que no son de Amazon pueden cambiar sin previo aviso.

GuardDuty supervisión

GuardDuty le informa del estado de su entorno de AWS mediante la generación de hallazgos de seguridad que AMS captura y sobre los que puede alertar.

Amazon GuardDuty supervisa la seguridad de su entorno de AWS mediante el análisis y el procesamiento de los registros de flujo de VPC, los registros de AWS CloudTrail eventos y los registros del sistema de nombres de dominio. Puede ampliar este ámbito de supervisión configurándolo GuardDuty para utilizar también sus propias listas de IP de confianza y listas de amenazas personalizadas.

  • Las listas de IP de confianza se componen de las direcciones IP que ha permitido para una comunicación segura con la infraestructura y las aplicaciones de AWS. GuardDuty no genera datos sobre las direcciones IP que figuran en las listas de IP de confianza. Solo puede tener una lista de IP de confianza cargada a la vez por cuenta y región de AWS.

  • Las listas de amenazas se componen de direcciones IP maliciosas conocidas. GuardDuty genera resultados a partir de listas de amenazas. Solo puede tener hasta seis listas de amenazas cargadas a la vez por cuenta y región de AWS.

Para implementarlo GuardDuty, utilice el comando AMS CT Deployment | Monitoring and notification | GuardDuty IP set | Create (ct-08avsj2e9mc7g) para crear un conjunto de direcciones IP aprobadas. También puede utilizar el conjunto AMS CT Deployment | Monitoring and Notification | GuardDuty Threat Intel Set | Create (ct-25v6r7t8gvkq5) para crear un conjunto de direcciones IP denegadas.

Para obtener una lista ¿Qué monitorea el sistema de monitoreo AMS? de los servicios que monitorea AMS, consulte.

Firewall DNS Amazon Route 53 Resolver

Amazon Route 53 Resolver responde de forma recursiva a las consultas de DNS de AWS los recursos de registros públicos, los nombres de DNS específicos de Amazon VPC y las zonas alojadas privadas de Amazon Route 53, y está disponible de forma predeterminada en todos ellos. VPCs Con DNS Firewall de Route 53 Resolver, puede filtrar y regular el tráfico DNS de salida para su virtual private cloud (VPC). Para ello, cree colecciones reutilizables de reglas de filtrado en grupos de reglas de DNS Firewall, asocie los grupos de reglas a su VPC y, a continuación, monitoree la actividad en los registros y métricas de DNS Firewall. En función de la actividad, puede ajustar el comportamiento de DNS Firewall según corresponda. Para obtener más información, consulte Uso del firewall de DNS para filtrar el tráfico DNS saliente.

Para ver y administrar la configuración del firewall DNS de Route 53 Resolver, utilice el siguiente procedimiento:

  1. Inicie sesión en la consola de Amazon VPC AWS Management Console y ábrala en. https://console.aws.amazon.com/vpc/

  2. En Firewall de DNS, selecciona Grupos de reglas.

  3. Revisa, edita o elimina la configuración existente o crea un grupo de reglas nuevo. Para obtener más información, consulte Cómo funciona el firewall DNS de Route 53 Resolver.

Supervisión y seguridad del firewall DNS de Amazon Route 53 Resolver

El firewall DNS de Amazon Route 53 utiliza los conceptos de asociaciones de reglas, acción de reglas y prioridad de evaluación de reglas. Una lista de dominios es un conjunto reutilizable de especificaciones de dominio que se utiliza en una regla de DNS Firewall, dentro de un grupo de reglas. Al asociar un grupo de reglas a una VPC, DNS Firewall compara las consultas de DNS con las listas de dominios que se utilizan en las reglas. Si el Firewall de DNS encuentra una coincidencia, gestiona la consulta de DNS de acuerdo con la acción de la regla coincidente. Para obtener más información sobre los grupos de reglas y las reglas, consulte Reglas y grupos de reglas del Firewall DNS.

Las listas de dominios se dividen en dos categorías principales:

  • Listas de dominios gestionadas, que se AWS crean y mantienen para usted.

  • Sus propias listas de dominios, que usted crea y mantiene.

Los grupos de reglas se evalúan en función de su índice de prioridad de asociación.

De forma predeterminada, AMS implementa una configuración de referencia que consta de la siguiente regla y grupo de reglas:

  • Un grupo de reglas denominadoDefaultSecurityMonitoringRule. El grupo de reglas tiene la prioridad de asociación más alta disponible en el momento de la creación para cada VPC existente en cada una de las VPC habilitadas. Región de AWS

  • Una regla nombrada DefaultSecurityMonitoringRule con la prioridad 1 dentro del grupo de DefaultSecurityMonitoringRule reglas, mediante la lista de dominios AWSManagedDomainsAggregateThreatList gestionados con la acción ALERT.

Si tiene una configuración existente, la configuración básica se implementa con una prioridad inferior a la configuración existente. La configuración actual es la predeterminada. Utiliza la configuración básica de AMS como una configuración general si la configuración existente no proporciona instrucciones de mayor prioridad sobre cómo gestionar la resolución de consultas. Para modificar o eliminar la configuración básica, realice una de las siguientes acciones:

Si su cuenta funciona en el modo Desarrollador o en el modo Cambio directo, puede realizar los cambios usted mismo.

AWS Certificate Manager Certificado (ACM)

AMS tiene un certificado CT, Deployment | Advanced stack components | ACM con un SANs | Create (ct-3l14e139i5p50) adicional, que puede utilizar para enviar una solicitud de certificado de AWS Certificate Manager, con hasta cinco nombres alternativos de sujeto (SAN) adicionales (como example.com, example.net y example.org). Para obtener más información, consulte ¿Qué es? AWS Certificate Manager y característica del certificado ACM.

nota

Esta configuración de tiempo de espera no se limita a la ejecución, sino también a la validación del certificado ACM mediante la validación por correo electrónico. Sin tu validación, la RFC fallará.

Cifrado de datos en AMS

AMS utiliza varios AWS servicios para el cifrado de datos, entre los que destacan Amazon Simple Storage Service AWS Key Management Service (AWS KMS), Amazon Elastic Block Store, Amazon Relational Database Service Amazon Redshift Amazon ElastiCache, AWS Lambda, y OpenSearch Amazon Service.

Amazon S3

Amazon S3 ofrece varias opciones de cifrado de objetos que protegen los datos en tránsito y en reposo. El cifrado del lado del servidor cifra el objeto antes de guardarlo en discos de sus centros de datos y, a continuación, lo descifra al descargar los objetos. Siempre que autentique su solicitud y tenga permiso de acceso, no existe diferencia alguna en la forma de obtener acceso a objetos cifrados o sin cifrar. Para obtener más información, consulte Protección de los datos en Amazon S3.

Amazon EBS

Con el cifrado de Amazon EBS, no necesita crear, mantener ni proteger su propia infraestructura de administración de claves. El cifrado de Amazon EBS utiliza AWS KMS claves al crear volúmenes e instantáneas cifrados. Las operaciones de cifrado se realizan en los servidores que alojan EC2 las instancias de Amazon. Esto se hace para garantizar que tanto data-at-rest una instancia como data-in-transit entre ella y su almacenamiento Amazon EBS adjunto estén protegidos. Puede asociar volúmenes cifrados y no cifrados con una instancia simultáneamente. Para obtener más información, consulte Cifrado de Amazon EBS.

Amazon RDS

Amazon RDS puede cifrar sus instancias de base de datos Amazon RDS. Los datos cifrados en reposo incluyen el almacenamiento subyacente de las instancias de base de datos, sus copias de seguridad automatizadas, las réplicas de lectura y las instantáneas. Las instancias de base de datos cifradas por Amazon RDS utilizan el algoritmo de cifrado AES-256 estándar del sector para cifrar los datos en el servidor que aloja las instancias de base de datos de Amazon RDS. Una vez cifrados los datos, Amazon RDS se encarga de la autenticación de acceso y del descifrado de los datos de forma transparente, con un impacto mínimo en el desempeño. No es necesario modificar las aplicaciones cliente de base de datos para utilizar el cifrado. Para obtener más información, consulte Cifrado de recursos de Amazon RDS.

Amazon Simple Queue Service

Además de la opción de cifrado gestionado del lado del servidor (SSE) predeterminada por Amazon SQS, el SSE gestionado por Amazon SQS (SSE-SQS) le permite crear un cifrado gestionado del lado del servidor personalizado que utiliza claves de cifrado gestionadas por Amazon SQS para proteger los datos confidenciales que se envían a través de las colas de mensajes. El cifrado del servidor (SSE) le permite transferir información confidencial en colas cifradas. El SSE protege el contenido de los mensajes en las colas mediante claves de cifrado administradas por Amazon SQS (SSE-SQS) o claves administradas en (SSE-KMS). AWS KMS Para obtener información sobre cómo administrar el SSE mediante el, consulte Cifrado en reposo. AWS Management Console

Cifrado de datos en reposo

OpenSearch Los dominios de servicio ofrecen el cifrado de los datos en reposo, una función de seguridad que ayuda a evitar el acceso no autorizado a los datos. La función utiliza AWS Key Management Service (AWS KMS) para almacenar y gestionar las claves de cifrado y el algoritmo del estándar de cifrado avanzado con claves de 256 bits (AES-256) para realizar el cifrado. Para obtener más información, consulte Cifrado de datos en reposo para Amazon OpenSearch Service.

Administración de claves

AWS KMS es un servicio gestionado que le facilita la creación y el control de las claves maestras de los clientes (CMKs), las claves de cifrado que se utilizan para cifrar sus datos. AWS KMS CMKs están protegidos por módulos de seguridad de hardware (HSMs) validados por el programa de validación de módulos criptográficos FIPS 140-2, excepto en las regiones de China (Beijing) y China (Ningxia). Para obtener más información, consulte ¿Qué es AWS Key Management Service?