Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ingeniería de plataformas
Cree un entorno de nube multicuenta seguro y compatible con productos en la nube empaquetados y reutilizables.
Para apoyar la innovación al capacitar a los equipos de desarrollo, la plataforma debe adaptarse a un ritmo rápido para mantenerse al día con las demandas de la empresa. (Consulte la perspectiva empresarial AWS de CAF). Debe hacerlo y, al mismo tiempo, ser lo suficientemente flexible como para adaptarse a las demandas de administración de productos, lo suficientemente rígido como para cumplir con las restricciones de seguridad y lo suficientemente rápido como para satisfacer las necesidades operativas. Este proceso requiere la creación de un entorno de nube multicuenta compatible con funciones de seguridad mejoradas y productos en la nube empaquetados y reutilizables.
Un entorno de nube eficaz permite a sus equipos aprovisionar fácilmente nuevas cuentas y, al mismo tiempo, garantizar que esas cuentas se ajusten a las políticas de la organización. Un conjunto seleccionado de productos en la nube le permite codificar las mejores prácticas, le ayuda con la gobernanza y le ayuda a aumentar la velocidad y la coherencia de sus despliegues en la nube. Implemente sus planes de mejores prácticas y sus barreras preventivas y de detección. Integre su entorno de nube con su entorno actual para habilitar los casos de uso de la nube híbrida que desee.
Automatice el flujo de trabajo de aprovisionamiento de cuentas y utilice varias cuentas para respaldar sus objetivos de seguridad y gobierno. Configure la conectividad entre sus entornos locales y en la nube, así como entre diferentes cuentas en la nube. Implemente la federación
Evalúe y certifique los servicios en la nube para su consumo de acuerdo con los estándares corporativos y la gestión de la configuración. Package y mejore continuamente los estándares empresariales como productos desplegables de autoservicio y servicios consumibles. Aproveche la infraestructura como código (IaC)
Para completar las tareas que se describen en las siguientes secciones, debe crear capacidades y equipos para que sus organizaciones evolucionen hacia una ingeniería de plataformas moderna. Para obtener información técnica, consulte el AWS documento técnico Cómo establecer su base en la nube en forma de nube.
Inicio
Construye una landing zone y despliega barandas
Al iniciar su viaje hacia una ingeniería de plataformas madura, primero debe implementar su landing zone con barandas de detección y prevención, tal como se define en la capacidad de arquitectura de la plataforma. Las barreras garantizan que no se infrinjan los estándares de la organización a medida que los propietarios de las aplicaciones consumen recursos de la nube. Con este mecanismo, automatiza el flujo de trabajo de aprovisionamiento de cuentas para usar varias cuentas que respalden sus objetivos de seguridad y gobierno.
Establezca la autenticación
Implemente la gestión de identidades y el control de acceso
Implemente su red
De acuerdo con los diseños de la arquitectura de su plataforma, cree una cuenta de red centralizada para controlar el tráfico entrante y saliente hacia y desde su entorno. Le recomendamos que diseñe sus redes para aprovisionar rápidamente una conectividad entre la red local y sus AWS entornos, hacia y desde Internet y entre todos sus entornos. AWS La centralización de la administración de la red le permite implementar controles de red para aislar las redes y la conectividad en todo su entorno mediante el uso de controles preventivos y reactivos.
Recopile, agregue y proteja los datos de eventos y registros
Utiliza la observabilidad CloudWatch entre cuentas de Amazon. Proporciona una interfaz unificada para buscar, visualizar y analizar las métricas, los registros y los seguimientos de las cuentas vinculadas, y elimina los límites de las cuentas.
Si su organización tiene requisitos de cumplimiento específicos para el control y la seguridad centralizados de los registros, considere la posibilidad de configurar una cuenta de archivo de registros dedicada. Esto ofrece un repositorio centralizado y cifrado específico para los datos de registro. Mejore la seguridad de este archivo mediante la rotación periódica de las claves de cifrado.
Implemente políticas sólidas para proteger los datos de registro confidenciales, utilizando técnicas de enmascaramiento según sea necesario. Utilice la agregación de registros para los registros de conformidad, seguridad y auditoría, y asegúrese de utilizar barreras y estructuras de identidad estrictas para evitar cambios no autorizados en las configuraciones de los registros.
Establezca controles
De acuerdo con las definiciones desde la perspectiva de seguridad de AWS CAF, implemente capacidades de seguridad
Implemente la gestión financiera en la nube
De acuerdo con la perspectiva de gobierno de AWS CAF, implemente etiquetas de asignación de costos y categorías de AWS costos que alineen la estrategia de etiquetado de su organización con la responsabilidad financiera por el consumo de la nube. AWS Las categorías de costos le permiten cobrar o mostrar los cargos de la nube a los centros de costos internos mediante herramientas como AWS Cost Explorer
Avanzado
Desarrolle la automatización de la infraestructura
Antes de continuar, evalúe y certifique los servicios en la nube para su consumo de acuerdo con la arquitectura de su plataforma. Luego, empaquete y mejore continuamente los estándares empresariales como productos desplegables y servicios consumibles, y utilice la infraestructura como código (IaC) para definir las configuraciones de forma declarativa. La automatización de la infraestructura imita los ciclos de desarrollo del software al permitir el acceso a servicios específicos en cada cuenta con un control de acceso basado en roles (RBAC) o un control de acceso basado en atributos (ABAC). Implemente un método para aprovisionar rápidamente nuevas cuentas y alinearlas con sus capacidades de gestión de servicios e incidentes mediante el uso o desarrollo de capacidades de autoservicio. APIs Automatice la integración de la red y la asignación de IP a medida que se crean las cuentas para garantizar el cumplimiento y la seguridad de la red. Integre las nuevas cuentas con su solución de administración de servicios de TI (ITSM) mediante conectores nativos configurados para funcionar con ellos. AWS Actualice sus manuales y manuales según corresponda.
Proporcione servicios de observabilidad centralizados
Para lograr una observabilidad efectiva en la nube, su plataforma debe admitir la búsqueda y el análisis en tiempo real de los datos de registro locales y centralizados. A medida que sus operaciones se amplíen, la capacidad de su plataforma para indexar, visualizar e interpretar los registros, las métricas y las trazas es fundamental para convertir los datos sin procesar en información procesable.
Al correlacionar los registros, las métricas y los rastreos, puede extraer conclusiones procesables y desarrollar respuestas específicas e informadas. Establezca reglas que permitan dar respuestas proactivas a los eventos o patrones de seguridad identificados en sus registros, métricas o rastreos. A medida que sus AWS soluciones se expandan, asegúrese de que su estrategia de monitoreo se amplíe en conjunto para mantener y mejorar sus capacidades de observabilidad.
Implemente la gestión de sistemas y el gobierno de la AMI
Las organizaciones que utilizan ampliamente las instancias de Amazon Elastic Compute Cloud (Amazon EC2) requieren herramientas operativas para gestionar las instancias a escala. La gestión de activos de software, la detección y respuesta de los terminales, la gestión del inventario, la gestión de vulnerabilidades y la gestión del acceso son capacidades fundamentales para muchas organizaciones. Estas capacidades suelen ofrecerse a través de agentes de software que se instalan en las instancias. Desarrolle la capacidad de empaquetar agentes y otras configuraciones personalizadas en Amazon Machine Images (AMIs) y ponerlos a AMIs disposición de los consumidores de la plataforma en la nube. Utilice controles preventivos y de detección que regulen su uso. AMIs AMIs debe incluir herramientas que permitan gestionar a gran escala las EC2 instancias de ejecución prolongada, especialmente para las cargas de trabajo mutables de EC2 Amazon que no consumen AMIs nuevas de forma habitual. Puede utilizarlas a gran AWS Systems Managerescala para automatizar las actualizaciones de los agentes, recopilar el inventario del sistema, acceder a las EC2 instancias de forma remota y corregir las vulnerabilidades del sistema operativo.
Gestione el uso de credenciales
De acuerdo con la perspectiva de seguridad AWS de la CAF, implemente funciones y credenciales temporales. Utilice herramientas para gestionar el acceso remoto a las instancias o los sistemas locales mediante un agente preinstalado sin almacenar secretos. Reduzca la dependencia de las credenciales a largo plazo y busque credenciales codificadas en sus plantillas de iAC. Si no puede utilizar credenciales temporales, utilice herramientas programáticas, como los identificadores de aplicaciones y las contraseñas de las bases de datos, para automatizar la rotación y la administración de las credenciales. Codifique los usuarios, los grupos y las funciones utilizando el principio de privilegios mínimos con la IaC y evite la creación manual de cuentas de identidad mediante el uso de barreras de seguridad.
Establezca herramientas de seguridad
Las herramientas de supervisión de la seguridad deben permitir una supervisión de la seguridad granular en toda la infraestructura, las aplicaciones y las cargas de trabajo, y proporcionar vistas agregadas para el análisis de patrones. Al igual que con todas las demás herramientas de gestión de la seguridad, debe ampliar sus herramientas de detección y respuesta ampliadas (XDR) para proporcionar funciones que permitan evaluar, detectar, responder y corregir la seguridad de sus aplicaciones, recursos y entornos de acuerdo con los requisitos definidos AWS en la perspectiva de seguridad de la AWS CAF.
Excel
Obtenga y distribuya construcciones de identidad con automatización
Codifique y versione las estructuras de identidad, como las funciones, las políticas y las plantillas, con las herramientas de IaC. Utilice las herramientas de validación de políticas para comprobar si hay advertencias de seguridad, errores, advertencias generales, cambios sugeridos en sus políticas de IAM y otros hallazgos. Cuando proceda, implemente y elimine las estructuras de identidad que proporcionan acceso temporal al entorno de forma automatizada y prohíba el despliegue por parte de las personas que utilizan la consola.
Añada detecciones y alertas para detectar patrones anómalos en todos los entornos
Evalúe de forma proactiva los entornos para detectar vulnerabilidades conocidas y añada la detección de patrones de actividad y eventos inusuales. Revise las conclusiones y haga recomendaciones a los equipos de arquitectura de la plataforma sobre los cambios que impulsen una mayor eficiencia e innovación.
Analice y modele las amenazas
Implemente un monitoreo y una medición continuos con respecto a los puntos de referencia del sector y de seguridad, de acuerdo con los requisitos desde la perspectiva de seguridad de la AWS CAF. Cuando implemente su enfoque de instrumentación, determine qué tipos de datos e información sobre eventos servirán de mejor base para sus funciones de gestión de la seguridad. Esta supervisión abarca varios vectores de ataque, incluido el uso del servicio. Sus bases de seguridad deben incluir una capacidad integral de registro y análisis seguros en sus entornos de múltiples cuentas, que incluya la capacidad de correlacionar eventos de múltiples fuentes. Evite cambios en esta configuración con controles y barandas específicos.
Recopile, revise y perfeccione los permisos de forma continua
Registre los cambios en las funciones y permisos de identidad e implemente alertas cuando las barandillas de los detectives detecten desviaciones con respecto al estado de configuración esperado. Utilice herramientas de identificación agregadas y de patrones para revisar su recopilación centralizada de eventos y refinar los permisos según sea necesario.
Seleccione, mida y mejore continuamente las métricas de su plataforma
Para permitir el éxito de las operaciones de la plataforma, establezca y revise periódicamente métricas exhaustivas. Asegúrese de que se alineen con los objetivos de la organización y las necesidades de las partes interesadas. Realice un seguimiento de las métricas de rendimiento y mejora de la plataforma y combine parámetros operativos, como los parches, las copias de seguridad y el cumplimiento, mediante el uso de indicadores de capacitación del equipo y adopción de herramientas.
Utilice la observabilidad CloudWatch multicuenta para una gestión eficiente de las métricas. Este servicio optimiza la agregación y visualización de datos para permitir tomar decisiones informadas y realizar mejoras específicas. Utilice estas métricas como indicadores de éxito e impulsores del cambio para fomentar un entorno de mejora continua.
