Tema 2: gestión de la infraestructura inmutable mediante canalizaciones seguras

Estrategias de Essential Eight que se abarcan

Control de aplicaciones, revisiones para las aplicaciones, revisiones para los sistemas operativos

Para una infraestructura inmutable, debe proteger los canales de despliegue para los cambios en el sistema. AWS El distinguido ingeniero Colm Maccárthaigh explicó este principio en la presentación (YouTubevídeo) de operaciones sin privilegios: ejecución de servicios sin acceso a los datos en la conferencia re:Invent de 2022. AWS

Al restringir el acceso directo para configurar AWS los recursos, puede exigir que todos los recursos se desplieguen o modifiquen mediante procesos aprobados, seguros y automatizados. Por lo general, se crean políticas de AWS Identity and Access Management (IAM) que permiten a los usuarios acceder solo a la cuenta que aloja la canalización de la implementación. También se configuran las políticas de IAM que permiten el acceso de emergencia a un número limitado de usuarios. Para evitar cambios manuales, puede utilizar los grupos de seguridad para bloquear el acceso a los servidores mediante SSH y el protocolo de escritorio remoto (RDP) de Windows. El administrador de sesiones, una capacidad de AWS Systems Manager, puede proporcionar acceso a las instancias sin necesidad de abrir puertos de entrada ni mantener los hosts bastiones.

Las imágenes de máquina de Amazon (AMI) y las imágenes de contenedor se deben crear de manera segura y repetible. En el caso de las instancias de Amazon EC2, puede utilizar EC2 Image Builder para AMIs compilarlas con funciones de seguridad integradas, como la detección de instancias, el control de aplicaciones y el registro. Para más información acerca del control de aplicaciones, consulte Implementing Application Control en el sitio web de ACSC. También puede utilizar el Generador de imágenes para crear imágenes de contenedores y puede utilizar Amazon Elastic Container Registry (Amazon ECR) para compartirlas entre cuentas. Un equipo de seguridad central puede aprobar el proceso automatizado para crear estas imágenes AMIs y las de contenedores, de modo que cualquier AMI o imagen de contenedor resultante esté aprobada para su uso por parte de los equipos de aplicaciones.

Las aplicaciones deben definirse en la infraestructura como código (IaC), mediante el uso de servicios como AWS CloudFormation o AWS Cloud Development Kit (AWS CDK). Las herramientas de análisis de código AWS CloudFormation Guard, como cfn-nag o cdk-nag, pueden comparar automáticamente el código con las mejores prácticas de seguridad aprobadas.

Al igual que con Tema 1: uso de servicios administrados, Amazon Inspector puede informar sobre las vulnerabilidades en sus Cuentas de AWS. Los equipos centralizados de la nube y seguridad pueden utilizar esta información para verificar que el equipo de aplicaciones satisface los requisitos de seguridad y cumplimiento normativo.

Para supervisar el cumplimiento e informar al respecto, haga revisiones continuas de los recursos y registros de IAM. Utilice AWS Config reglas para asegurarse de que solo se AMIs utilizan los aprobados y asegúrese de que Amazon Inspector esté configurado para analizar los recursos de Amazon ECR en busca de vulnerabilidades.

Mejores prácticas relacionadas en el AWS Well-Architected Framework

Implementación de este tema

Implementación de canalizaciones de creación de contenedores y AMI

Utilice EC2 Image Builder e incorpore lo siguiente a su AMIs:
- AWS Systems Manager Agente (SSM Agent), que se utiliza para la detección y administración de instancias
- Herramientas de seguridad para el control de aplicaciones, como Security Enhanced Linux (SELinux) (GitHub), File Access Policy Daemon (fapolicyd) (GitHub) u OpenSCAP
- Amazon CloudWatch Agent, que se utiliza para registrar
En el caso de todas las instancias de EC2, incluya las políticas CloudWatchAgentServerPolicy y AmazonSSMManagedInstanceCore en el perfil de instancia o en el rol de IAM que utiliza System Manager para acceder a la instancia
Comparte AMIs con toda la organización
Comparta los recursos de EC2 Image Builder
Asegúrese de que los equipos de aplicaciones consulten las últimas AMIs
Utilice la canalización de AMI para la administración de revisiones
Implemente canalizaciones de creación de contenedores:
- Cree una canalización de imágenes de contenedores mediante el asistente de consola EC2 Image Builder
- Cree un canal de entrega continua para las imágenes de sus contenedores utilizando Amazon ECR como fuente (entrada del AWS blog)
Comparta las imágenes de contenedores de ECR en su organización a través de arquitecturas con varias cuentas y varias regiones

Implementación de canalizaciones seguras para la creación de aplicaciones

Implemente procesos de compilación para IaC, por ejemplo, mediante EC2 Image Builder y AWS CodePipeline (entrada de blog)AWS
Utilice herramientas de análisis de código AWS CloudFormation Guard, como cfn-nag (GitHub) o cdk-nag (GitHub), en las CI/CD canalizaciones para ayudar a detectar infracciones de las mejores prácticas, como:
- Políticas de IAM demasiado permisivas, como las que utilizan caracteres comodines
- Reglas de grupos de seguridad que son demasiado permisivas, como las que utilizan caracteres comodines o permiten el acceso por SSH
- Registros de acceso que no están habilitados
- Cifrado que no está habilitado
- Literales de contraseñas
Implemente herramientas de escaneo en las canalizaciones (entrada del blog)AWS
Úselo AWS Identity and Access Management Access Analyzer en canalizaciones (AWS entrada de blog) para validar las políticas de IAM definidas en las plantillas CloudFormation
Configure las políticas de IAM y las políticas de control de servicios para que el acceso con privilegios mínimos pueda utilizar la canalización o hacer modificaciones en la misma

Implementación del escaneo de vulnerabilidades

Habilite Amazon Inspector en todas las cuentas de su organización
Utilice Amazon Inspector para escanear AMIs su proceso de creación de AMI:
- Gestione el ciclo de vida de las AMI en EC2 Image Builder GitHub ()
Configure los escaneos mejorados para los repositorios de Amazon ECR mediante Amazon Inspector
Cree un programa de administración de vulnerabilidades para clasificar y corregir los resultados de seguridad

Supervisión de este tema

Supervisión de IAM y registros de manera continua

Revise periódicamente las políticas de IAM para asegurarse de que:
- Solo las canalizaciones de implementación tengan acceso directo a los recursos
- Solo los servicios aprobados tengan acceso directo a los datos
- Los usuarios no tengan acceso directo a los recursos o datos
Supervise AWS CloudTrail los registros para confirmar que los usuarios modifican los recursos a través de canalizaciones y no los modifican directamente ni acceden a los datos
Revise de manera periódica los resultados del Analizador de acceso de IAM
Configure una alerta para que le notifique si se utilizan las credenciales del usuario raíz de una Cuenta de AWS

Implemente las siguientes reglas AWS Config

APPROVED_AMIS_BY_ID
APPROVED_AMIS_BY_TAG
ECR_PRIVATE_IMAGE_SCANNING_ENABLED

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Tema 1: servicios administrados

Tema 3: infraestructura mutable