Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de su arquitectura de seguridad: un enfoque gradual

La arquitectura de seguridad multicuenta recomendada por la AWS SRA es una arquitectura básica que le ayudará a incorporar la seguridad en las primeras etapas del proceso de diseño. La transición de cada organización a la nube es única. Para que su arquitectura de seguridad en la nube evolucione satisfactoriamente, debe visualizar el estado objetivo deseado, comprender su nivel actual de preparación para la nube y adoptar un enfoque ágil para cerrar cualquier brecha. La AWS SRA proporciona un estado objetivo de referencia para su arquitectura de seguridad. La transformación gradual le permite demostrar su valor rápidamente y, al mismo tiempo, minimizar la necesidad de hacer predicciones de gran alcance.

El Marco de Adopción de la AWS Nube (AWS CAF) recomienda cuatro fases de transformación de la nube iterativas e incrementales: visualizar, alinear, lanzar y escalar. Al entrar en la fase de lanzamiento y centrarse en lanzar iniciativas piloto en producción, debería centrarse en crear una arquitectura de seguridad sólida como base para la fase de ampliación, de modo que tenga la capacidad técnica necesaria para migrar y operar las cargas de trabajo más críticas para la empresa con confianza. Este enfoque gradual es aplicable si es una empresa emergente, una empresa pequeña o mediana que quiere expandir su negocio o una empresa que está adquiriendo nuevas unidades de negocio o realizando fusiones y adquisiciones. La AWS SRA lo ayuda a lograr esa arquitectura básica de seguridad para que pueda aplicar los controles de seguridad de manera uniforme en toda su organización en expansión. AWS Organizations La arquitectura básica consta de varios servicios Cuentas de AWS Y. La planificación y la implementación deben ser un proceso de varias fases, de modo que pueda ir repasando hitos más pequeños para alcanzar el objetivo más amplio de configurar su arquitectura de seguridad básica. En esta sección, se describen las fases típicas de su transición a la nube en función de un enfoque estructurado. Estas fases se alinean con los principios de diseño de seguridad de AWS Well-Architected Framework.  

Fase 1: Cree su OU y su estructura contable

Un requisito previo para una base de seguridad sólida es una AWS organización y una estructura de cuentas bien diseñadas. Como se explicó anteriormente en la sección de componentes básicos de la SRA de esta guía, tener varias Cuentas de AWS permite aislar diferentes funciones empresariales y de seguridad por diseño. Al principio, esto puede parecer un trabajo innecesario, pero se trata de una inversión que le ayudará a escalar de forma rápida y segura. En esa sección también se explica cómo AWS Organizations administrar varias Cuentas de AWS cuentas y cómo usar las funciones de acceso confiable y administrador delegado para administrar estas Servicios de AWS múltiples cuentas de forma centralizada.

Puedes usar AWS Control Towerlo descrito anteriormente en esta guía para organizar tu landing zone. Si actualmente utilizas una sola cuenta Cuenta de AWS, consulta la Cuentas de AWS guía sobre la transición a varias cuentas para migrar a varias cuentas lo antes posible. Por ejemplo, si su empresa emergente está ideando y creando prototipos de su producto en una sola Cuenta de AWS, debería pensar en adoptar una estrategia de cuentas múltiples antes de lanzar su producto al mercado. Del mismo modo, las organizaciones pequeñas, medianas y empresariales deberían empezar a desarrollar su estrategia de cuentas múltiples tan pronto como planifiquen sus cargas de trabajo de producción iniciales. Comience con su base OUs y Cuentas de AWS, a continuación, añada las cuentas y las cuentas relacionadas con la carga de trabajo OUs .

Para obtener Cuenta de AWS recomendaciones sobre la estructura de unidades organizativas más allá de lo que se proporciona en la AWS SRA, consulta la entrada del blog sobre la estrategia de múltiples cuentas para pequeñas y medianas empresas. Al finalizar la estructura de la unidad organizativa y la estructura de cuentas, tenga en cuenta los controles de seguridad de alto nivel que afectan a toda la organización y que le gustaría aplicar mediante políticas de control de servicios (SCPs), políticas de control de recursos () y políticas RCPs declarativas.

Fase 2: Implemente una base de identidad sólida

En cuanto hayas creado varias Cuentas de AWS, debes permitir que tus equipos accedan a los AWS recursos de esas cuentas. Existen dos categorías generales de gestión de la identidad: la gestión de la identidad y el acceso de los empleados y la gestión de la identidad y el acceso de los clientes (CIAM). Workforce IAM es para organizaciones en las que los empleados y las cargas de trabajo automatizadas necesitan iniciar sesión AWS para realizar su trabajo. El CIAM se utiliza cuando una organización necesita una forma de autenticar a los usuarios para proporcionar acceso a las aplicaciones de la organización. Lo primero que necesita es una estrategia de IAM para el personal, de modo que sus equipos puedan crear y migrar aplicaciones. Siempre debe utilizar funciones de IAM en lugar de usuarios de IAM para proporcionar acceso a usuarios humanos o de máquinas. Siga las instrucciones de la AWS SRA sobre cómo utilizarlas AWS IAM Identity Center en las cuentas de administración de la organización y de servicios compartidos para administrar de forma centralizada el acceso a su cuenta mediante el inicio de sesión único (SSO). Cuentas de AWS La guía también proporciona consideraciones de diseño para utilizar la federación de IAM cuando no se puede utilizar el IAM Identity Center.

Al trabajar con las funciones de IAM para proporcionar a los usuarios acceso a AWS los recursos, debe utilizar el analizador de acceso de IAM y el asesor de acceso de IAM, tal y como se describe en las secciones sobre herramientas de seguridad y gestión de la organización de esta guía. Estos servicios le ayudan a conseguir los privilegios mínimos, lo que constituye un importante control preventivo que le ayuda a adoptar una buena postura de seguridad. 

Fase 3: Mantener la trazabilidad

Cuando sus usuarios tengan acceso AWS y comiencen a crear, querrá saber quién hace qué, cuándo y desde dónde. También querrá tener visibilidad sobre posibles errores de configuración de seguridad, amenazas o comportamientos inesperados. Una mejor comprensión de las amenazas a la seguridad le permite priorizar los controles de seguridad adecuados. Para supervisar la AWS actividad, siga las recomendaciones de la AWS SRA para configurar un registro de la organización mediante el uso AWS CloudTraily la centralización de los registros en la cuenta de Log Archive. Para la supervisión de eventos de seguridad AWS Security Hub CSPM, utilice Amazon y Amazon Security Lake GuardDuty AWS Config, tal y como se indica en la sección de cuentas de herramientas de seguridad. 

Fase 4: Aplicar la seguridad en todos los niveles

En este punto, deberías tener:

En esta fase, planifique aplicar la seguridad en otros niveles de su AWS organización, tal y como se describe en la sección Aplicar servicios de seguridad en toda su AWS organización. Puede crear controles de seguridad para su capa de red mediante servicios como AWS WAF,, AWS Shield, AWS Certificate Manager (ACM) AWS Firewall Manager AWS Network Firewall, Amazon CloudFront, Amazon Route 53 y Amazon VPC, tal y como se describe en la sección Cuenta de red. A medida que avance en su gama de tecnologías, aplique controles de seguridad específicos para su carga de trabajo o conjunto de aplicaciones. Utilice los puntos de enlace de VPC AWS Systems Manager, AWS Secrets Manager Amazon Inspector y Amazon Cognito tal y como se describe en la sección Cuenta de aplicación. 

Fase 5: Proteja los datos en tránsito y en reposo

Los datos de su empresa y de sus clientes son activos valiosos que debe proteger. AWS proporciona varios servicios y funciones de seguridad para proteger los datos en movimiento y en reposo. Usa Amazon CloudFront con AWS Certificate Manager, tal y como se describe en la sección Cuenta de red, para proteger los datos en movimiento que se recopilan a través de Internet. Para los datos en movimiento dentro de las redes internas, utilice un Application Load Balancer con AWS Private Certificate Authority, tal y como se explica en la sección Cuenta de la aplicación. AWS KMS y le AWS CloudHSM ayudan a gestionar las claves criptográficas para proteger los datos en reposo. 

Fase 6: Prepárese para los eventos de seguridad

A medida que opere su entorno de TI, se producirán incidentes de seguridad, que son cambios en el funcionamiento diario de su entorno de TI que indican una posible infracción de la política de seguridad o un fallo en el control de seguridad. La trazabilidad adecuada es fundamental para detectar un incidente de seguridad lo antes posible. Es igualmente importante estar preparado para clasificar estos eventos de seguridad y responder a ellos, de modo que pueda tomar las medidas adecuadas antes de que el problema de seguridad se agrave. La preparación le ayuda a clasificar rápidamente un evento de seguridad para comprender su posible impacto.

La AWS SRA, mediante el diseño de la cuenta de herramientas de seguridad y el despliegue de servicios de seguridad comunes en todas ellas Cuentas de AWS, le permite detectar eventos de seguridad en toda su organización. AWS Amazon Detective, incluido en la cuenta de herramientas de seguridad, le ayuda a clasificar un evento de seguridad e identificar la causa raíz. Durante una investigación de seguridad, debe poder revisar los registros pertinentes para registrar y comprender el alcance completo y la cronología del incidente. Los registros también son necesarios para generar alertas cuando se producen acciones específicas de interés. La AWS SRA recomienda una cuenta central de archivo de registros para el almacenamiento inmutable de todos los registros operativos y de seguridad. Puede consultar los CloudWatch registros mediante Logs Insights para los datos almacenados en grupos de CloudWatch registros, y Amazon Athena y Amazon OpenSearch Service para los datos almacenados en Amazon S3. Utilice Amazon Security Lake para centralizar automáticamente los datos de seguridad del AWS entorno, los proveedores de software como servicio (SaaS), las instalaciones y otros proveedores de nube. Configure los suscriptores en la cuenta de Security Tooling o en cualquier cuenta dedicada, según lo establecido en la AWS SRA, para que consulten esos registros a fin de investigarlos. 

Respuesta frente a incidencias de seguridad de AWSle ayuda a automatizar la respuesta, la investigación y la reparación de los incidentes de seguridad. Proporciona guías de trabajo y flujos de trabajo prediseñados para ayudarle a responder a los eventos de seguridad de forma rápida y coherente. Cuando la función de respuesta proactiva está habilitada, Security Incident Response se integra con Security Hub CSPM y activa automáticamente GuardDuty los flujos de trabajo de respuesta cuando se detectan hallazgos de seguridad. El servicio le ayuda a estandarizar y automatizar los procesos de respuesta a incidentes en toda la organización. AWS Si necesita más ayuda, puede abrir un caso respaldado por el servicio para contactar con el equipo de respuesta a incidentes del AWS cliente (CIRT).