Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ingeniería de la plataforma

Cree un entorno en la nube multicuenta en cumplimiento y seguro con productos en la nube empaquetados y reutilizables.

Para facilitar la innovación al facultar a los equipos de desarrollo, la plataforma debe adaptarse a un ritmo rápido para mantenerse al día con las demandas de la empresa. (Consulte AWS CAF Business perspective). Debe hacerlo y, al mismo tiempo, ser lo bastante flexible como para adaptarse a las demandas de administración de productos, lo bastante rígido como para cumplir con las restricciones de seguridad y lo bastante rápido como para satisfacer las necesidades operativas. Para este proceso es necesario crear un entorno de nube de varias cuentas en cumplimiento que cuente con características de seguridad mejoradas y productos en la nube empaquetados y reutilizables. 

Un entorno en la nube eficaz permite a los equipos aprovisionar fácilmente las cuentas nuevas y, al mismo tiempo, garantizar que esas cuentas se ajusten a las políticas de la organización. Un conjunto seleccionado de productos en la nube le permite codificar las prácticas recomendadas, ayuda con la gobernanza y ayuda a aumentar la velocidad y la coherencia de las implementaciones en la nube. Implemente los esquemas de las prácticas recomendadas y las barreras de protección preventivas y de detección. Integre el entorno en la nube con el entorno actual para habilitar los casos de uso de la nube híbrida que desee.

Automatice el flujo de trabajo de aprovisionamiento de cuentas y utilice varias cuentas para complementar sus objetivos de seguridad y gobernanza. Configure la conectividad entre los entornos en las instalaciones y en la nube, así como entre cuentas distintas en la nube. Implemente la federación entre el proveedor de identidad (IdP) actual y el entorno en la nube para que los usuarios puedan autenticarse con sus credenciales de inicio de sesión existentes. Centralice el registro, establezca las auditorías de seguridad entre cuentas, cree solucionadores de DNS entrantes y salientes y obtenga visibilidad en el panel de control de sus cuentas y barreras de protección.

Evalúe y certifique los servicios en la nube para su consumo de acuerdo con los estándares corporativos y la administración de la configuración. Empaquete y mejore de manera continua los estándares empresariales como productos implementables de autoservicio y servicios consumibles. Aproveche la infraestructura como código (IaC) para definir las configuraciones de manera declarativa. Cree equipos de habilitación para dar a conocer la plataforma a los desarrolladores y usuarios empresariales. Permítales crear integraciones que aceleren la adopción en la organización.

Para completar las tareas que se describen en las secciones siguientes, debe crear funcionalidades y equipos para que sus organizaciones evolucionen hacia una ingeniería de plataformas moderna. Para información técnica, consulte el documento técnico Establishing your Cloud Foundation on AWS.

Iniciar

Creación de una zona de aterrizaje e implementación de barreras de protección

Al iniciar su recorrido hacia una ingeniería de plataformas madura, primero debe implementar la zona de aterrizaje con barreras de protección de detección y prevención, tal como se define en la funcionalidad de arquitectura de la plataforma. Las barreras de protección garantizan que no se infrinjan los estándares de la organización a medida que los responsables de las aplicaciones consumen recursos de la nube. Con este mecanismo, automatiza el flujo de trabajo de aprovisionamiento de cuentas para utilizar varias cuentas que respaldan sus objetivos de seguridad y gobernanza. 

Establecimiento de la autenticación

Implemente la administración de identidades y el control de acceso en todos los entornos, sistemas, cargas de trabajo y procesos de acuerdo con los estándares dictados desde la perspectiva de seguridad de AWS CAF. En el caso de las identidades de la plantilla, restrinja el uso de usuarios de AWS Identity and Access Management (IAM) y recurra a un proveedor de identidades que le permita administrar las identidades desde un lugar centralizado. De este modo se facilita la administración del acceso en varias aplicaciones y servicios, pues crea, administra y revoca el acceso desde un único lugar. Utilice los procesos existentes para administrar la creación, actualización y eliminación del acceso a fin de incluir los entornos de AWS.

Implementación de la red

De acuerdo con los diseños de la arquitectura de la plataforma, cree una cuenta de red centralizada para controlar el tráfico entrante y saliente hacia y desde el entorno. Le recomendamos diseñar sus redes para aprovisionar de manera rápida una conectividad entre la red en las instalaciones y los entornos de AWS, hacia y desde internet y entre los entornos de AWS. La centralización de la administración de la red le permite implementar controles de red para aislar las redes y la conectividad en el entorno mediante controles preventivos y reactivos.

Recopilación, introducción y protección de los datos de eventos y registros

Utilice la observabilidad entre cuentas de Amazon CloudWatch. Proporciona una interfaz unificada para buscar, visualizar y analizar las métricas, los registros y los seguimientos en las cuentas vinculadas y elimina los límites de las cuentas.

Si su organización tiene requisitos concretos de cumplimiento para el control y la seguridad centralizados de los registros, considere la posibilidad de configurar una cuenta de archivos de registros dedicada. Esto ofrece un repositorio centralizado y cifrado concreto para los datos del registro. Mejore la seguridad de este archivo mediante la rotación periódica de las claves de cifrado.

Implemente políticas sólidas para proteger los datos confidenciales del registro mediante técnicas de enmascaramiento según sea necesario. Utilice la agregación de registros para los registros de cumplimiento, seguridad y auditoría. Asegúrese de utilizar barreras de protección y estructuras de identidad estrictas para evitar cambios no autorizados en las configuraciones de los registros.

Establecimiento de controles

De acuerdo con las definiciones de AWS CAF Security perspective, implemente funcionalidades de seguridad fundamentales que cumplan con los requisitos de su empresa. Implemente controles de detección y preventivos adicionales y aprovisiónelos mediante programación y de manera coherente en todas sus cuentas cuando sea necesario. Integre los controles de detección en las herramientas operativas, tal como se define en la funcionalidad de la arquitectura de la plataforma, de modo que los mecanismos operativos puedan revisar los recursos que no cumplan con las normas.

Implementación de la administración financiera en la nube

De acuerdo con la AWS CAF Governance perspective, implemente etiquetas de asignación de costos y categorías de costos de AWS que alineen la estrategia de etiquetado de su organización con la responsabilidad financiera por el consumo de la nube. AWS Las categorías de costos le permiten cobrar o mostrar los cargos de la nube a los centros de costos internos mediante herramientas como AWS Cost Explorer y los datos de facturación publicados en AWS Cost and Usage Report.  

Avanzado

Creación de la automatización de la infraestructura

Antes de continuar, evalúe y certifique los servicios en la nube para su consumo de acuerdo con la arquitectura de la plataforma. A continuación, empaquete y mejore de manera continua los estándares empresariales como productos implementables y los servicios consumibles. También, utilice la infraestructura como código (IaC) para definir las configuraciones de manera declarativa. La automatización de la infraestructura imita los ciclos de desarrollo de software, ya que permite el acceso a servicios concretos en cada cuenta con control de acceso basado en roles (RBAC) o con control de acceso basado en atributos (ABAC). Implemente un método para aprovisionar de manera rápida cuentas nuevas y alinearlas con las funcionalidades de administración de incidentes y servicios mediante el uso de las API, o desarrolle funcionalidades de autoservicio. Automatice la integración de la red y la asignación de IP a medida que se crean las cuentas para garantizar el cumplimiento y la seguridad de la red. Integre las cuentas nuevas con la solución de administración de servicios de TI (ITSM) mediante conectores nativos configurados para funcionar con AWS. Actualice los cuadernos de estrategias y los manuales de procedimientos según corresponda.

Proporcionar servicios de observabilidad centralizados

Para lograr una observabilidad efectiva en la nube, la plataforma debe admitir la búsqueda y el análisis en tiempo real de los datos del registro locales y centralizados. A medida que las operaciones se escalen, la capacidad de la plataforma para indexar, visualizar e interpretar los registros, las métricas y los seguimientos es fundamental para convertir los datos sin procesar en información útil.

Al correlacionar los registros, las métricas y los seguimientos, puede extraer información útil y desarrollar respuestas específicas e informadas. Establezca reglas que permitan dar respuestas proactivas a los eventos o patrones de seguridad identificados en los registros, las métricas o los seguimientos. A medida que las soluciones de AWS se amplían, asegúrese de que la estrategia de supervisión se amplíe en conjunto para mantener y mejorar las funcionalidades de observabilidad.

Implementación de la administración de sistemas y gobernanza de la AMI

Las organizaciones que utilizan las instancias de Amazon Elastic Compute Cloud (Amazon EC2) necesitan herramientas operativas para administrar las instancias a escala. La administración de activos de software, la detección y respuesta de los puntos de conexión, la administración del inventario, la administración de vulnerabilidades y la administración del acceso son funcionalidades fundamentales para muchas organizaciones.  Estas funcionalidades suelen ofrecerse a través de agentes de software que se instalan en las instancias. Desarrolle la funcionalidad de empaquetar agentes y otras configuraciones personalizadas en Imagen de máquina de Amazon (AMI) y ponga estas AMI a disposición de los consumidores de la plataforma en la nube. Utilice los controles preventivos y de detección que gobiernan el uso de estas AMI. Las AMI deben incluir herramientas que permitan la administración a escala de las instancias de EC2 de ejecución prolongada, sobre todo para las cargas de trabajo mutables de Amazon EC2 que no consumen AMI nuevas de manera periódica. Puede utilizar AWS Systems Manager a escala para automatizar las actualizaciones de los agentes, recopilar el inventario del sistema, acceder a las instancias de EC2 de manera remota y corregir las vulnerabilidades del sistema operativo.

Gestión del uso de las credenciales

De acuerdo con la AWS CAF Security perspective, implemente roles y credenciales temporales. Utilice herramientas para administrar el acceso remoto a las instancias o los sistemas en las instalaciones mediante un agente preinstalado sin almacenar secretos. Reduzca la dependencia de las credenciales a largo plazo y busque las credenciales codificadas en las plantillas de IaC. Si no puede utilizar las credenciales temporales, utilice las herramientas programáticas, como los tokens de aplicaciones y las contraseñas de las bases de datos, para automatizar la rotación y la administración de las credenciales. Codifique los usuarios, los grupos y los roles mediante los principios de privilegios mínimos con IaC y evite la creación manual de cuentas de identidad mediante el uso de barreras de protección.

Establecimiento de las herramientas de seguridad

Las herramientas de supervisión de la seguridad deben permitir una supervisión granular de la seguridad en la infraestructura, las aplicaciones y las cargas de trabajo, y proporcionar vistas agregadas para el análisis de patrones. Al igual que con todas las demás herramientas de administración de la seguridad, debe ampliar las herramientas de detección y respuesta ampliadas (XDR) para proporcionar funciones que permitan evaluar, detectar, responder y corregir la seguridad de las aplicaciones, los recursos y los entornos en AWS de acuerdo con los requisitos definidos en AWS CAF Security perspective.

Excel

Obtención y distribución de constructos de identidad con automatización

Codifique y versione los constructos de identidad, como los roles, las políticas y las plantillas, con las herramientas de IaC. Puede utilizar las herramientas de validación de políticas para comprobar si hay advertencias de seguridad, errores, advertencias generales, cambios sugeridos en las políticas de IAM y otros resultados. Cuando proceda, implemente y elimine las estructuras de identidad que proporcionan acceso temporal al entorno de manera automatizada y prohíba la implementación por parte de las personas que utilizan la consola.

Agregue las detecciones y las alertas para detectar los patrones anómalos en los entornos

Evalúe de manera proactiva los entornos para detectar vulnerabilidades conocidas y agregue la detección de patrones de actividad y eventos inusuales. Revise los resultados y haga recomendaciones a los equipos de arquitectura de la plataforma sobre los cambios que impulsen una mayor eficiencia e innovación. 

Análisis y modelado de amenazas

Supervise y mida de manera continua los puntos de referencia del sector y de seguridad, de acuerdo con los requisitos de AWS CAF Security perspective. Cuando implemente su enfoque de instrumentación, determine qué tipos de datos e información sobre eventos serán una mejor base para las funciones de administración de la seguridad. Esta supervisión abarca varios vectores de ataque, lo que incluye el uso del servicio. Las bases de seguridad deben incluir una funcionalidad integral de registro y análisis seguros en los entornos de varias cuentas, que incluya la capacidad de correlacionar eventos de varios orígenes. Evite cambiar esta configuración con barreras de protección y controles específicos. 

Recopilación, revisión y perfeccionamiento de los permisos de manera continua

Registre los cambios en los roles y permisos de identidad e implemente las alertas cuando las barreras de protección de los detectives detecten desviaciones con respecto al estado de configuración esperado. Utilice las herramientas de identificación agregadas y de patrones para revisar la recopilación centralizada de eventos y refinar los permisos según sea necesario.

Selección, medición y mejora continuas de las métricas de la plataforma

Para que las operaciones de la plataforma rindan buenos resultados, establezca y revise de manera periódica métricas integrales. Asegúrese de que se alineen con los objetivos de la organización y las necesidades de las partes interesadas. Haga un seguimiento de las métricas de rendimiento y mejora de la plataforma. Combine los parámetros operativos, como las revisiones, las copias de seguridad y el cumplimiento, mediante indicadores de capacitación del equipo y adopción de herramientas.

Utilice la observabilidad entre cuentas de CloudWatch para que la administración de métricas sea eficiente. Este servicio optimiza la agregación y visualización de los datos para poder tomar decisiones informadas y hacer mejoras concretas. Utilice estas métricas como indicadores de éxito e impulsores del cambio para fomentar un entorno de mejora continua.