Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Recomendaciones de controles de seguridad para proteger la infraestructura
La protección de la infraestructura representa una parte clave de cualquier programa de seguridad. Incluye metodologías de control que lo ayudan a proteger sus redes y recursos de computación. Los ejemplos de protección de la infraestructura incluyen los límites de confianza, un defense-in-depth enfoque, el refuerzo de la seguridad, la administración de parches y la autenticación y autorización del sistema operativo. Para obtener más información, consulte Protección de la infraestructura en el AWS Well-Architected Framework. Los controles de seguridad de esta sección pueden ayudarlo a implementar las prácticas recomendadas de protección de la infraestructura.
Controles de esta sección:
Especifique los objetos raíz predeterminados para las distribuciones CloudFront
Análisis del código de la aplicación para identificar problemas de seguridad comunes
Cree capas de red mediante subredes y subredes dedicadas VPCs
Restricción del tráfico entrante y saliente en el grupo de seguridad predeterminado
Análisis de vulnerabilidades de software y exposición de la red no deseada
Utilice un defense-in-depth enfoque para controlar el tráfico de la red
Especifique los objetos raíz predeterminados para las distribuciones CloudFront
Amazon CloudFront acelera la distribución de tu contenido web al distribuirlo a través de una red mundial de centros de datos, lo que reduce la latencia y mejora el rendimiento. Si no define un objeto raíz predeterminado, las solicitudes de la raíz de su distribución pasarán a su servidor de origen. Si utiliza un origen de Amazon Simple Storage Service (Amazon S3), la solicitud podría devolver una lista del contenido del bucket de S3 o una lista del contenido privado del origen. Especificar un objeto raíz predeterminado lo ayuda evitar la exposición del contenido de su distribución.
Para obtener más información, consulte los siguientes recursos:
-
Especificar un objeto raíz predeterminado en la CloudFront documentación
Análisis del código de la aplicación para identificar problemas de seguridad comunes
El AWS Well-Architected Framework recomienda escanear las bibliotecas y las dependencias en busca de problemas y defectos. Existen muchas herramientas de análisis de código fuente que puede usar para analizar el código fuente. Por ejemplo, Amazon CodeGuru puede buscar problemas de seguridad comunes en nuestras Java Python aplicaciones y ofrecer recomendaciones para solucionarlos.
Para obtener más información, consulte los siguientes recursos:
-
Source code analysis tools
en el sitio web de OWASP Foundation -
Realice la gestión de vulnerabilidades en el AWS Well-Architected Framework
Cree capas de red mediante subredes y subredes dedicadas VPCs
El AWS Well-Architected Framework recomienda agrupar los componentes que comparten requisitos de sensibilidad en capas. De este modo, se minimiza el alcance potencial del impacto de un acceso no autorizado. Por ejemplo, un clúster de base de datos que no requiere acceso a Internet debe colocarse en una subred privada de la VPC para garantizar que no haya ninguna ruta hacia o desde Internet.
AWS ofrece muchos servicios que pueden ayudarle a probar e identificar la accesibilidad pública. Por ejemplo, Reachability Analyzer es una herramienta de análisis de configuración que le ayuda a probar la conectividad entre los recursos de origen y destino de su. VPCs Además, el Analizador de acceso a la red puede ayudarlo a identificar accesos de la red no intencionados a recursos.
Para obtener más información, consulte los siguientes recursos:
-
Cree capas de red en AWS Well-Architected Framework
-
Crear una subred en la documentación de Amazon Virtual Private Cloud (Amazon VPC)
Restricción del tráfico entrante solo a puertos autorizados
El acceso sin restricciones, como el tráfico de la dirección IP de 0.0.0.0/0 origen, aumenta el riesgo de actividad maliciosa, como la piratería informática, los ataques denial-of-service (DoS) y la pérdida de datos. Los grupos de seguridad proporcionan un filtrado detallado del tráfico de la red que ingresa y sale a los recursos. AWS Ningún grupo de seguridad debe permitir el acceso sin restricciones a puertos conocidos, como SSH y el protocolo de escritorio remoto (RDP) Windows. Para el tráfico entrante, en los grupos de seguridad, permita solo las conexiones TCP o UDP en los puertos autorizados. Para conectarse a instancias de Amazon Elastic Compute Cloud (Amazon EC2), utilice el Administrador de sesiones o Run Command en lugar del acceso directo mediante SSH o RDP.
Para obtener más información, consulte los siguientes recursos:
-
Uso de grupos de seguridad en la documentación de Amazon EC2
-
Controle el tráfico a sus AWS recursos mediante los grupos de seguridad de la documentación de Amazon VPC
Bloqueo del acceso público a documentos de Systems Manager
A menos que su caso de uso requiera que esté activada la compartición pública, las prácticas AWS Systems Manager recomendadas recomiendan bloquear la compartición pública de los documentos de Systems Manager. El uso compartido público puede proporcionar un acceso no deseado a los documentos. Un documento público de Systems Manager puede exponer información valiosa y confidencial sobre su cuenta, sus recursos y sus procesos internos.
Para obtener más información, consulte los siguientes recursos:
-
Prácticas recomendadas para documentos de SSM compartidos en la documentación de Systems Manager
-
Modificar los permisos para un documento de SSM compartido en la documentación de Systems Manager
Bloqueo del acceso público a funciones de Lambda
AWS Lambda es un servicio de computación que ayuda a ejecutar código sin necesidad de aprovisionar ni administrar servidores. Las funciones de Lambda no deben ser accesibles públicamente porque podría permitir el acceso no deseado al código de la función.
Le recomendamos que configure políticas basadas en recursos para que las funciones de Lambda denieguen el acceso desde fuera de la cuenta. Para lograrlo, puede eliminar los permisos o agregar la condición AWS:SourceAccount a la declaración que permite el acceso. Puede actualizar las políticas basadas en recursos para las funciones de Lambda a través de la API de Lambda o AWS Command Line Interface (AWS CLI).
También le recomendamos que active el control [Lambda.1] Las políticas de la función de Lambda deben prohibir el acceso público en AWS Security Hub CSPM. Este control valida que las políticas basadas en recursos para las funciones de Lambda prohíban el acceso público.
Para obtener más información, consulte los siguientes recursos:
-
AWS Lambda controles en la documentación de Security Hub (CSPM)
-
Uso de políticas basadas en recursos para Lambda en la documentación de Lambda
-
Recursos y condiciones para acciones de Lambda en la documentación de Lambda
Restricción del tráfico entrante y saliente en el grupo de seguridad predeterminado
Si no asocias un grupo de seguridad personalizado al aprovisionar un AWS recurso, el recurso se asocia al grupo de seguridad predeterminado de la VPC. Las reglas predeterminadas de este grupo de seguridad permiten todo el tráfico entrante de todos los recursos asignados a este grupo de seguridad, así como todo el tráfico saliente IPv4 . IPv6 Esto podría permitir tráfico no deseado hacia el recurso.
AWS recomienda no utilizar el grupo de seguridad predeterminado. Como alternativa, cree grupos de seguridad personalizados para recursos o grupos de recursos específicos.
Dado que el grupo de seguridad predeterminado no se puede eliminar, le recomendamos cambiar las reglas de los grupo de seguridad predeterminadas para restringir el tráfico entrante y saliente. Al configurar las reglas de los grupos de seguridad, siga el principio de privilegio mínimo.
También le recomendamos que habilite la VPC [EC2.2] Los grupos de seguridad predeterminados no deben permitir el control del tráfico entrante o saliente en Security Hub CSPM. Este control valida que el grupo de seguridad predeterminado de una VPC deniegue el tráfico entrante y saliente.
Para obtener más información, consulte los siguientes recursos:
-
Grupos de seguridad predeterminados para usted VPCs en la documentación de Amazon VPC
-
Controles de Amazon EC2 en la documentación de Security Hub (CSPM)
Análisis de vulnerabilidades de software y exposición de la red no deseada
Le recomendamos que active Amazon Inspector en todas sus cuentas. Amazon Inspector es un servicio de administración de vulnerabilidades que analiza continuamente las instancias de Amazon EC2, las imágenes de contenedores de Amazon Elastic Container Registry (Amazon ECR) y las funciones de Lambda en busca de vulnerabilidades de software y exposiciones de la red no deseadas. También admite la inspección profunda de las instancias de Amazon EC2. Cuando Amazon Inspector detecta una vulnerabilidad o una ruta de red abierta, produce un resultado que puede investigar. Si Amazon Inspector y Security Hub CSPM están configurados en su cuenta, Amazon Inspector envía automáticamente los resultados de seguridad a Security Hub CSPM para su administración centralizada.
Para obtener más información, consulte los siguientes recursos:
-
Recursos para el análisis con Amazon Inspector en la documentación de Amazon Inspector
-
Amazon Inspector Deep inspection for Amazon EC2 en la documentación de Amazon Inspector
-
Escanee EC2 AMIs con Amazon Inspector
en el blog AWS de seguridad -
Building a scalable vulnerability management program on AWS en la Guía prescriptiva de AWS
-
Automatice la protección de la red en AWS Well-Architected Framework
-
Automatice la protección informática en AWS Well-Architected Framework
Configure AWS WAF
AWS WAFes un firewall de aplicaciones web que le ayuda a supervisar y bloquear las solicitudes HTTP o HTTPS que se reenvían a los recursos de aplicaciones web protegidas, como Amazon API Gateway APIs, CloudFront las distribuciones de Amazon o los balanceadores de carga de aplicaciones. Según los criterios que especifique, el servicio responde a las solicitudes con el contenido solicitado, con un código de estado HTTP 403 (prohibido) o con una respuesta personalizada. AWS WAF puede ayudar a proteger las aplicaciones web o APIs contra las vulnerabilidades web más comunes que pueden afectar a la disponibilidad, comprometer la seguridad o consumir recursos excesivos. Considere la posibilidad de configurar AWS WAF Cuentas de AWS y utilizar una combinación de reglas AWS administradas, reglas personalizadas e integraciones de socios para ayudar a proteger sus aplicaciones de los ataques en la capa de aplicación (capa 7).
Para obtener más información, consulte los siguientes recursos:
-
Para empezar, consulte AWS WAF la documentación AWS WAF
-
AWS WAF socios de entrega
en el AWS sitio web -
Automatizaciones de seguridad para AWS WAF
la biblioteca de AWS soluciones -
Implemente la inspección y la protección en el marco de AWS Well-Architected
Configure protecciones avanzadas contra los ataques S DDo
AWS Shieldproporciona protección contra los ataques de denegación de servicio (DDoS) distribuidos contra AWS los recursos de las capas de red y transporte (capas 3 y 4) y la capa de aplicaciones (capa 7). Este servicio está disponible en dos opciones: AWS Shield Standard y AWS Shield Advanced. Shield Standard protege automáticamente AWS los recursos compatibles sin coste adicional.
Le recomendamos que se suscriba a Shield Advanced, que proporciona una protección ampliada contra ataques DDo S para recursos protegidos. Las protecciones que reciba de Shield Avanzado pueden variar en función de la arquitectura y las opciones de configuración. Considere la posibilidad de implementar las protecciones Shield Avanzado para las aplicaciones en las que necesite alguno de los siguientes requisitos:
-
Disponibilidad garantizada para los usuarios de la aplicación.
-
Acceso rápido a expertos en mitigación DDo S si la aplicación se ve afectada por un ataque DDo S.
-
Conciencia por parte de AWS de que la aplicación podría verse afectada por un ataque DDo tipo S y notificación de los ataques por parte de AWS y su intensificación a sus equipos de seguridad u operaciones.
-
Los costes de la nube son predecibles, incluso si un ataque DDo tipo S afecta al uso de Servicios de AWS.
Para obtener más información, consulte los siguientes recursos:
-
AWS Shield Advanced overview en la documentación de Shield
-
AWS Shield Advanced recursos protegidos en la documentación de Shield
-
AWS Shield Advanced capacidades y opciones en la documentación de Shield
-
Respuesta a los eventos DDo S en la documentación de Shield
-
Implemente la inspección y la protección en el marco de AWS Well-Architected
Utilice un defense-in-depth enfoque para controlar el tráfico de la red
AWS Network Firewall es un firewall de red gestionado y con estado y un servicio de detección y prevención de intrusiones para nubes privadas virtuales (VPCs) en el. Nube de AWS Lo ayuda a implementar protecciones de red esenciales en el perímetro de la VPC. Entre ellas, se incluye filtrar el tráfico que va o viene de una puerta de enlace de Internet, una puerta de enlace de NAT o a través de una VPN o AWS Direct Connect. Network Firewall incluye características que lo ayudan a protegerse frente a las amenazas de red más comunes. El firewall con estado de Network Firewall puede incorporar contexto de flujos de tráfico, como conexiones y protocolos, para hacer cumplir las políticas.
Para obtener más información, consulte los siguientes recursos:
-
Controle el tráfico en todos los niveles del AWS Well-Architected Framework
