Aspectos básicos de seguridad - AWS Guía prescriptiva
Capacidades de seguridadPrincipios de diseño de seguridadCómo utilizar la AWS SRA con AWS CAF y Well-Architected Framework AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Aspectos básicos de seguridad

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta.

La AWS SRA se alinea con tres fundamentos de AWS seguridad: el Marco de Adopción de la AWS Nube (AWS CAF), AWS Well-Architected y el Modelo de Responsabilidad Compartida. AWS

AWS Professional Services creó el AWS CAF para ayudar a las empresas a diseñar y seguir un camino acelerado hacia una adopción exitosa de la nube. La orientación y las mejores prácticas que ofrece el marco le ayudan a desarrollar un enfoque integral de la computación en nube en toda su empresa y durante todo su ciclo de vida de TI. La AWS CAF organiza la orientación en seis áreas de enfoque, denominadas perspectivas. Cada perspectiva abarca distintas responsabilidades que pertenecen a las partes interesadas relacionadas con la funcionalidad o que las administran. En general, las perspectivas de negocio, personas y gobernanza se centran en las capacidades empresariales, mientras que las perspectivas de plataforma, seguridad y operaciones se centran en las capacidades técnicas.

La perspectiva de seguridad de la AWS CAF le ayuda a estructurar la selección e implementación de los controles en toda su empresa. Seguir las AWS recomendaciones actuales del pilar de seguridad puede ayudarle a cumplir sus requisitos empresariales y normativos.

AWS WellArchitected ayuda a los arquitectos de la nube a crear una infraestructura segura, de alto rendimiento, resiliente y eficiente para sus aplicaciones y cargas de trabajo. El marco se basa en seis pilares (excelencia operativa, seguridad, confiabilidad, eficiencia del rendimiento, optimización de costos y sostenibilidad) y proporciona un enfoque coherente para que los AWS clientes y socios evalúen las arquitecturas e implementen diseños que puedan ampliarse con el tiempo. Creemos que contar con cargas de trabajo de Well-Architected aumenta en gran medida la probabilidad de éxito empresarial.

El pilar de seguridad de Well-Architected Framework describe cómo aprovechar las tecnologías en la nube para ayudar a proteger los datos, los sistemas y los activos de una manera que pueda mejorar su postura de seguridad. Esto le ayudará a cumplir sus requisitos empresariales y normativos siguiendo las recomendaciones actuales AWS . Hay áreas de enfoque adicionales de Well-Architected Framework que proporcionan más contexto para dominios específicos, como la gobernanza, la tecnología sin servidores, la inteligencia artificial y el aprendizaje automático y los juegos. Se conocen como lentes AWS Well-Architected.

La seguridad y el cumplimiento son una responsabilidad compartida entre el cliente AWS y el cliente. Este modelo compartido puede ayudarlo a aliviar la carga operativa, ya que AWS opera, administra y controla los componentes desde el sistema operativo anfitrión y la capa de virtualización hasta la seguridad física de las instalaciones en las que opera el servicio. Por ejemplo, usted asume la responsabilidad y la administración del sistema operativo huésped (incluidas las actualizaciones y los parches de seguridad), el software de la aplicación, el cifrado de datos del lado del servidor, las tablas de rutas del tráfico de la red y la configuración del firewall del grupo AWS de seguridad proporcionado. En el caso de los servicios abstractos, como Amazon S3 y Amazon AWS DynamoDB, opera la capa de infraestructura, el sistema operativo y las plataformas, y usted accede a los puntos de enlace para almacenar y recuperar datos. Usted es responsable de administrar sus datos (incluidas las opciones de cifrado), clasificar sus activos y utilizar las herramientas de IAM para aplicar los permisos adecuados. Este modelo compartido suele describirse diciendo que AWS es responsable de la seguridad de la nube (es decir, de proteger la infraestructura en la que se ejecutan todos los servicios que se ofrecen en ella Nube de AWS) y que usted es responsable de la seguridad en la nube (según lo determinen los Nube de AWS servicios que seleccione).

Dentro de las directrices que proporcionan estos documentos fundamentales, dos conjuntos de conceptos son particularmente relevantes para el diseño y la comprensión de la AWS SRA: las capacidades de seguridad y los principios de diseño de la seguridad.

Capacidades de seguridad

La perspectiva de seguridad de la AWS CAF describe nueve capacidades que le ayudan a lograr la confidencialidad, integridad y disponibilidad de sus datos y cargas de trabajo en la nube.

  • La gobernanza de la seguridad permite desarrollar y comunicar las funciones, responsabilidades, políticas, procesos y procedimientos de seguridad en todo el entorno de AWS su organización.

  • Garantía de seguridad para supervisar, evaluar, gestionar y mejorar la eficacia de sus programas de seguridad y privacidad.

  • Gestión de identidades y accesos para gestionar las identidades y los permisos a escala.

  • Detección de amenazas para comprender e identificar posibles errores de configuración de seguridad, amenazas o comportamientos inesperados.

  • Gestión de vulnerabilidades para identificar, clasificar, corregir y mitigar de forma continua las vulnerabilidades de seguridad.

  • Protección de la infraestructura para ayudar a validar que los sistemas y servicios de sus cargas de trabajo estén protegidos.

  • Protección de datos para mantener la visibilidad y el control de los datos y de cómo se accede a ellos y se utilizan en su organización.

  • Seguridad de las aplicaciones para ayudar a detectar y abordar las vulnerabilidades de seguridad durante el proceso de desarrollo del software.

  • Respuesta a incidentes para reducir los posibles daños mediante una respuesta eficaz a los incidentes de seguridad.

Principios de diseño de seguridad

El pilar de seguridad del Well-Architected Framework recoge un conjunto de siete principios de diseño que convierten áreas de seguridad específicas en una guía práctica que puede ayudarlo a fortalecer la seguridad de sus cargas de trabajo. Mientras que las capacidades de seguridad enmarcan la estrategia de seguridad general, estos principios del Marco de Well-Architected describen lo que puede empezar a hacer. Están reflejados de manera muy deliberada en este AWS SRA y consisten en lo siguiente:

  • Implemente una base de identidad sólida: implemente el principio de privilegios mínimos y exija la separación de funciones con la autorización adecuada para cada interacción con sus AWS recursos. Centralice la administración de identidades y busque eliminar la dependencia de las credenciales a largo plazo.

  • Habilite la trazabilidad: supervise, genere alertas y audite las acciones y los cambios en su entorno en tiempo real. Integre la recopilación de registros y métricas con sistemas para investigar y tomar medidas automáticamente.

  • Aplique la seguridad en todos los niveles ‒ Aplique un defense-in-depth enfoque con varios controles de seguridad. Aplique varios tipos de controles (por ejemplo, controles preventivos y de detección) a todas las capas, incluidos el borde de la red, la nube privada virtual (VPC), el equilibrio de carga, los servicios de instancia y procesamiento, el sistema operativo, la configuración de aplicaciones y el código.

  • Automatice las mejores prácticas de seguridad: los mecanismos de seguridad automatizados y basados en software mejoran su capacidad de escalar de forma segura de forma más rápida y rentable. Cree arquitecturas seguras e implemente controles que se definan y administren como código en plantillas con control de versiones.

  • Proteja los datos en tránsito y en reposo: clasifique los datos según sus niveles de confidencialidad y utilice mecanismos como el cifrado, la tokenización y el control de acceso, cuando proceda.

  • Mantenga a las personas alejadas de los datos ‒ Utilice mecanismos y herramientas para reducir o eliminar la necesidad de acceder directamente a los datos o procesarlos manualmente. De esta forma, se reducen los errores humanos y el riesgo de una mala gestión o modificación al gestionar información confidencial.

  • Prepárese para los eventos de seguridad: prepárese para un incidente con políticas y procesos de gestión e investigación de incidentes que se ajusten a los requisitos de su organización. Ejecute simulaciones de respuesta frente a incidencias y use herramientas con automatización para aumentar la velocidad de detección, investigación y recuperación.

Cómo utilizar la AWS SRA con AWS CAF y Well-Architected Framework AWS

AWS CAF, AWS Well-Architected Framework AWS y SRA son marcos complementarios que funcionan juntos para respaldar sus esfuerzos de migración y modernización a la nube.

  • La AWS CAF aprovecha la AWS experiencia y las mejores prácticas para ayudarlo a alinear los valores de la adopción de la nube con los resultados empresariales deseados. Utilice la AWS CAF para identificar y priorizar las oportunidades de transformación, evaluar y mejorar la preparación para la nube y desarrollar de forma iterativa su hoja de ruta de transformación.

  • El AWS Well-Architected Framework AWS proporciona recomendaciones para crear una infraestructura segura, de alto rendimiento, resiliente y eficiente para una variedad de aplicaciones y cargas de trabajo que cumplan con los resultados de su negocio. 

  • La AWS SRA le ayuda a comprender cómo implementar y gobernar los servicios de seguridad de una manera que se alinee con las recomendaciones de la AWS CAF y el Well-Architected AWS Framework. 

Por ejemplo, la perspectiva de seguridad de la AWS CAF sugiere que evalúe cómo administrar de forma centralizada las identidades de sus empleados y su autenticación. AWS En función de esta información, puede decidir utilizar una solución de proveedor de identidad corporativa (IdP) nueva o existente, como Okta, Active Directory o Ping Identity para este fin. Sigue las instrucciones del AWS Well-Architected Framework y decide integrar su IdP con el para ofrecer a sus empleados una experiencia de inicio de sesión único que pueda sincronizar AWS IAM Identity Center las membresías y permisos de sus grupos. Debe revisar la recomendación de la AWS SRA de habilitar el Centro de Identidad de IAM en la cuenta de administración de su AWS organización y administrarlo a través de una cuenta de herramientas de seguridad utilizada por su equipo de operaciones de seguridad. Este ejemplo ilustra cómo la AWS CAF le ayuda a tomar las decisiones iniciales sobre la postura de seguridad deseada, el AWS Well-Architected Framework proporciona orientación sobre cómo evaluar Servicios de AWS los que están disponibles para cumplir ese objetivo y, a continuación, AWS la SRA proporciona recomendaciones sobre cómo implementar y gobernar los servicios de seguridad que seleccione.