Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

UO de seguridad: cuenta de herramientas de seguridad

El siguiente diagrama ilustra los servicios AWS de seguridad que están configurados en la cuenta Security Tooling.

La cuenta Security Tooling está dedicada a operar los servicios de seguridad Cuentas de AWS, monitorear y automatizar las alertas y respuestas de seguridad. Los objetivos de seguridad incluyen los siguientes:

Administrador delegado de los servicios de seguridad

La cuenta Security Tooling sirve como cuenta de administrador para los servicios de seguridad que se administran en una administrator/member estructura en todo el. Cuentas de AWS Como se ha mencionado anteriormente, esto se gestiona mediante la función de administrador AWS Organizations delegado. Los servicios de la AWS SRA que actualmente admiten el administrador delegado incluyen la administración centralizada de IAM del acceso raíz, AWS Firewall Manager Amazon AWS Config, IAM Access GuardDuty Analyzer, Amazon Macie,, Amazon Detective AWS Security Hub, AWS Security Hub CSPM AWS Audit Manager Amazon Inspector y. AWS CloudTrail AWS Systems Manager Su equipo de seguridad administra las funciones de seguridad de estos servicios y supervisa cualquier evento o hallazgo específico de seguridad.

AWS IAM Identity Center admite la administración delegada en la cuenta de un miembro. AWS SRA utiliza la cuenta de Servicios Compartidos como cuenta de administrador delegado para el Centro de Identidad de IAM, tal y como se explica más adelante en la sección Centro de Identidad de IAM de la cuenta de Servicios Compartidos.

Acceso raíz centralizado

La cuenta Security Tooling es la cuenta de administrador delegado para la administración centralizada de la capacidad de acceso raíz de IAM. Esta capacidad debe habilitarse a nivel de la organización al permitir la administración de credenciales y la acción raíz privilegiada en las cuentas de los miembros. Los administradores delegados deben disponer de sts:AssumeRoot permisos explícitos para poder realizar acciones de raíz privilegiadas en nombre de las cuentas de los miembros. Este permiso solo está disponible después de habilitar la acción raíz privilegiada en la cuenta de un miembro en la cuenta de administración de la organización o de administrador delegado. Con este permiso, los usuarios pueden realizar tareas de usuario raíz con privilegios en las cuentas de los miembros de forma centralizada desde la cuenta Security Tooling. Tras iniciar una sesión privilegiada, puede eliminar una política de bucket de S3 mal configurada, eliminar una política de colas de SQS mal configurada, eliminar las credenciales de usuario raíz de una cuenta de miembro y volver a habilitar las credenciales de usuario raíz de una cuenta de miembro. Puede realizar estas acciones desde la consola, mediante () o mediante. AWS Command Line Interface AWS CLI APIs

AWS CloudTrail

AWS CloudTrailes un servicio que respalda la gobernanza, el cumplimiento y la auditoría de la actividad de su empresa Cuenta de AWS. Con CloudTrail él, puede registrar, monitorear continuamente y retener la actividad de la cuenta relacionada con las acciones en toda su AWS infraestructura. CloudTrail está integrado con AWS Organizations, y esa integración se puede utilizar para crear un registro único que registre todos los eventos de todas las cuentas de la AWS organización. Esto es lo que se denomina registro de seguimiento de organización. Puede crear y administrar un registro de la organización solo desde la cuenta de administración de la organización o desde una cuenta de administrador delegado. Al crear un registro de la organización, se crea un registro con el nombre que especifique en cada uno de los registros Cuenta de AWS que pertenezcan a su AWS organización. El registro registra la actividad de todas las cuentas de la AWS organización, incluida la cuenta de administración, y almacena los registros en un único depósito de S3. Debido a la sensibilidad de este depósito de S3, debe protegerlo siguiendo las prácticas recomendadas que se describen en la sección Amazon S3 como almacén de registros central, más adelante en esta guía. Todas las cuentas de la AWS organización pueden ver el registro de la organización en su lista de registros. Sin embargo, los miembros Cuentas de AWS tienen acceso de solo lectura a este sendero. De forma predeterminada, al crear un registro de la organización en la CloudTrail consola, el registro es multirregional. Para obtener más información sobre las mejores prácticas de seguridad, consulte la CloudTraildocumentación.

En la AWS SRA, la cuenta Security Tooling es la cuenta de administrador delegado para la administración. CloudTrail El depósito de S3 correspondiente para almacenar los registros de seguimiento de la organización se crea en la cuenta Log Archive. Esto sirve para separar la administración y el uso de los privilegios de CloudTrail registro. Para obtener información sobre cómo crear o actualizar un bucket de S3 para almacenar los archivos de registro para el registro de una organización, consulte la CloudTrail documentación. Como práctica recomendada de seguridad, añada la clave de aws:SourceArn condición del registro de la organización a la política de recursos del bucket de S3 (y a cualquier otro recurso, como las claves de KMS o los temas de SNS). Esto garantiza que el bucket de S3 solo acepte los datos asociados al registro específico. El rastro se configura con la validación del archivo de registro para validar la integridad del archivo de registro. Los archivos de registro y resumen se cifran mediante SSE-KMS. El registro de la organización también está integrado con un grupo de CloudWatch registros en Logs para enviar los eventos y conservarlos a largo plazo.

AWS Security Hub CSPM

AWS Security Hub La gestión de la postura de seguridad en la nube (AWS Security Hub CSPM), anteriormente conocida como AWS Security Hub, le proporciona una visión completa de su postura de seguridad AWS y le ayuda a comparar su entorno con los estándares y las mejores prácticas del sector de la seguridad. Security Hub CSPM recopila datos de seguridad de todos los servicios AWS integrados, productos de terceros compatibles y otros productos de seguridad personalizados que pueda utilizar. Le ayuda a supervisar y analizar continuamente sus tendencias de seguridad e identificar los problemas de seguridad de mayor prioridad. Además de las fuentes ingeridas, Security Hub CSPM genera sus propios hallazgos, que están representados por controles de seguridad que se ajustan a uno o más estándares de seguridad. Estos estándares incluyen las mejores prácticas de seguridad AWS fundamentales (FSBP), el Center for Internet Security (CIS) AWS Foundations Benchmark v1.20 y v1.4.0, el SP 800-53 Rev. 5 del Instituto Nacional de Estándares y Tecnología (NIST), el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) y los estándares de administración de servicios. Para obtener una lista de los estándares de seguridad actuales y detalles sobre controles de seguridad específicos, consulte la referencia de estándares para Security Hub CSPM en la documentación de Security Hub CSPM.

Security Hub con el que CSPM se integra AWS Organizations para simplificar la administración del estado de seguridad en todas las cuentas actuales y futuras de su AWS organización. Puede utilizar la función de configuración central CSPM de Security Hub desde la cuenta de administrador delegado (en este caso, Security Tooling) para especificar cómo se configuran el servicio CSPM de Security Hub, los estándares de seguridad y los controles de seguridad en las cuentas y unidades organizativas de su organización () en todas las regiones. OUs  Puede configurar estos ajustes en unos pocos pasos desde una región principal, que se denomina región de origen. Si no utiliza la configuración central, debe configurar Security Hub CSPM por separado en cada cuenta y región. El administrador delegado puede designar las cuentas OUs como autoadministrables, de forma que el miembro puede configurar los ajustes por separado en cada región, o bien administrarlas de forma centralizada, donde el administrador delegado puede configurar la cuenta del miembro o la unidad organizativa en todas las regiones. Puede designar todas las cuentas de su organización como OUs administradas de forma centralizada, todas autogestionadas o como una combinación de ambas. Esto simplifica la aplicación de una configuración coherente y, al mismo tiempo, proporciona la flexibilidad de modificarla para cada unidad organizativa y cuenta. 

La cuenta de administrador delegado CSPM de Security Hub también puede ver los hallazgos, ver información y controlar los detalles de todas las cuentas de los miembros. Además, puede designar una región de agregación dentro de la cuenta de administrador delegado para centralizar los hallazgos en sus cuentas y en las regiones vinculadas. Sus resultados se sincronizan de forma continua y bidireccional entre la región agregadora y todas las demás regiones.

Security Hub CSPM admite integraciones con varios. Servicios de AWS Amazon GuardDuty AWS Config, Amazon Macie, IAM Access Analyzer, Amazon AWS Firewall Manager Inspector, Amazon Route 53 Resolver DNS Firewall y AWS Systems Manager Patch Manager pueden enviar los resultados a Security Hub CSPM. Security Hub CSPM procesa las conclusiones mediante un formato estándar denominado AWS Security Finding Format (ASFF). Security Hub CSPM correlaciona los hallazgos entre los productos integrados para priorizar los más importantes. Puede enriquecer los metadatos de las conclusiones del CSPM de Security Hub para ayudar a contextualizar mejor las conclusiones de seguridad, priorizarlas y tomar medidas al respecto. Este enriquecimiento agrega etiquetas de recursos, una nueva etiqueta de AWS aplicación e información sobre el nombre de la cuenta a cada hallazgo que se ingiera en Security Hub CSPM. Esto le ayuda a ajustar los resultados para las reglas de automatización, buscar o filtrar los hallazgos e información y evaluar el estado de la seguridad por aplicación. Además, puede utilizar las reglas de automatización para actualizar automáticamente los hallazgos. A medida que Security Hub CSPM ingiere los hallazgos, puede aplicar una variedad de acciones de reglas, como suprimir los hallazgos, cambiar su gravedad y añadir notas a los hallazgos. Estas reglas entran en vigor cuando los resultados coinciden con los criterios especificados, como el recurso o la cuenta a los que está asociado IDs el hallazgo o su título. Puede utilizar las reglas de automatización para actualizar los campos de búsqueda seleccionados en el ASFF. Las reglas se aplican tanto a los hallazgos nuevos como a los actualizados.

Durante la investigación de un incidente de seguridad, puedes ir del Security Hub CSPM a Amazon Detective para investigar un GuardDuty hallazgo. Security Hub CSPM recomienda alinear las cuentas de administrador delegado para servicios como Detective (donde existan) para una integración más fluida. Por ejemplo, si no alinea las cuentas de administrador entre Detective y Security Hub CSPM, no funcionará pasar de los hallazgos a Detective. Para obtener una lista completa, consulte Descripción general de Servicio de AWS las integraciones con Security Hub CSPM en la documentación de Security Hub CSPM.

Puede utilizar Security Hub CSPM con la función Network Access Analyzer de Amazon VPC para supervisar de forma continua el cumplimiento de la configuración de la red. AWS Esto le ayudará a bloquear el acceso no deseado a la red y a evitar el acceso externo a sus recursos críticos. Para obtener más detalles sobre la arquitectura y la implementación, consulte la entrada del AWS blog Verificación continua del cumplimiento de la red mediante Amazon VPC Network Access Analyzer y. AWS Security Hub CSPM

Además de sus funciones de monitoreo, Security Hub CSPM admite la integración con Amazon EventBridge para automatizar la corrección de hallazgos específicos. Puede definir las acciones personalizadas que se llevarán a cabo cuando se reciba un hallazgo. Por ejemplo, puede configurar acciones personalizadas para enviar resultados a un sistema de tickets o a un sistema de corrección automático. Para obtener más información y ejemplos, consulte las publicaciones del AWS blog Automated Response and remediation with AWS Security Hub CSPM y Cómo implementar la AWS solución para Security Hub CSPM Automated Response and remediation.

Security Hub CSPM utiliza servicios vinculados Reglas de AWS Config para realizar la mayoría de las comprobaciones de seguridad de los controles. Para admitir estos controles, AWS Config debe estar habilitado en todas las cuentas, incluidas la cuenta de administrador (o administrador delegado) y las cuentas de los miembros, en todas las que esté habilitado el CSPM de Security Región de AWS Hub.

AWS Security Hub

AWS Security Hubes una solución de seguridad en la nube unificada que prioriza sus amenazas de seguridad críticas y le ayuda a responder a gran escala. Security Hub detecta los problemas de seguridad casi en tiempo real al correlacionar y enriquecer automáticamente las señales de seguridad de múltiples fuentes, como la gestión de la postura (AWS Security Hub CSPM), la gestión de vulnerabilidades (Amazon Inspector), los datos confidenciales (Amazon Macie) y la detección de amenazas (Amazon). GuardDuty Esta capacidad permite que los equipos de seguridad identifiquen y prioricen los riesgos activos en los entornos en la nube mediante análisis automatizados e información contextual. Security Hub proporciona una representación visual de la posible ruta de ataque que los atacantes pueden aprovechar para acceder a los recursos asociados a una detección de exposición. Esto transforma las señales de seguridad complejas en información procesable, para que pueda tomar decisiones informadas sobre su seguridad rápidamente.

Security Hub se ha rediseñado estratégicamente para simplificar la habilitación de los componentes básicos de los servicios de seguridad asociados a fin de llegar a un resultado de seguridad. Al correlacionar los hallazgos de seguridad en una matriz de amenazas entre diferentes señales de seguridad prácticamente en tiempo real, puede priorizar primero los riesgos más críticos. Los hallazgos se correlacionan para detectar la exposición asociada AWS a los recursos. Las exposiciones representan debilidades más amplias en los controles de seguridad, errores de configuración u otras áreas que podrían ser aprovechadas por las amenazas activas. Por ejemplo, una exposición puede ser una EC2 instancia a la que se puede acceder desde Internet y que presenta vulnerabilidades de software con una alta probabilidad de explotación.

Security Hub y Security Hub CSPM son servicios complementarios. Security Hub CSPM proporciona una visión completa de su postura de seguridad y le ayuda a evaluar su entorno de nube con respecto a los estándares y las mejores prácticas del sector de la seguridad. Security Hub proporciona una experiencia unificada que le ayuda a priorizar y responder a los problemas de seguridad críticos. Los resultados del CSPM de Security Hub se envían automáticamente a Security Hub, donde se correlacionan con resultados de otros servicios de seguridad, como Amazon Inspector, para generar exposiciones. Esto ayuda a identificar los riesgos más críticos en el entorno. 

Security Hub también proporciona un resumen de los recursos de su AWS entorno por tipo y las conclusiones asociadas. Los recursos se priorizan según las exposiciones y las secuencias de ataque. Al elegir un tipo de recurso, puede revisar todos los recursos asociados a ese tipo de recurso.

Para una experiencia óptima, recomendamos habilitar Security Hub y Security Hub CSPM, así como habilitar estos otros servicios de seguridad: Amazon GuardDuty, Amazon Inspector y Amazon Macie. Puede ver si estos servicios y funciones están habilitados de manera uniforme en todas las cuentas de los miembros de su organización mediante los resultados de cobertura de Security Hub.

En la AWS SRA, la cuenta Security Tooling actúa como administradora delegada de Security Hub, Security Hub CSPM y otros servicios de seguridad. AWS En la cuenta Security Tooling, puede ver todos los recursos asociados a las cuentas de los miembros. También puedes ver todos los recursos de tu hogar Región de AWS desde Linked Regiones de AWS.

Amazon GuardDuty

Amazon GuardDuty es un servicio de detección de amenazas que monitorea continuamente la actividad maliciosa y el comportamiento no autorizado para proteger tus cargas de trabajo Cuentas de AWS y las tuyas. Siempre debe capturar y almacenar los registros adecuados para fines de supervisión y auditoría, pero GuardDuty extrae flujos de datos independientes directamente de los registros de AWS CloudTrail flujo de Amazon VPC AWS y los registros de DNS. No tiene que gestionar las políticas de bucket de Amazon S3 ni modificar la forma en que recopila y almacena los registros. GuardDutylos permisos se administran como funciones vinculadas al servicio que puede revocar en cualquier momento desactivándolas. GuardDuty Esto facilita la activación del servicio sin una configuración compleja y elimina el riesgo de que una modificación de los permisos de IAM o un cambio en la política del bucket de S3 afecten al funcionamiento del servicio.

Además de proporcionar fuentes de datos fundamentales, GuardDuty ofrece funciones opcionales para identificar los hallazgos de seguridad. Estas incluyen EKS Protection, RDS Protection, S3 Protection, Malware Protection y Lambda Protection. En el caso de los detectores nuevos, estas funciones opcionales están habilitadas de forma predeterminada, excepto la protección EKS, que debe activarse manualmente.

GuardDuty también proporciona una función conocida como detección extendida de amenazas que detecta automáticamente los ataques en varias etapas que abarcan fuentes de datos, varios tipos de AWS recursos y tiempos dentro de un mismo espacio. Cuenta de AWS GuardDutycorrelaciona estos eventos, que se denominan señales, para identificar los escenarios que se presentan como posibles amenazas para su AWS entorno y, a continuación, genera una búsqueda de la secuencia de ataque. Esto abarca los escenarios de amenazas que implican un compromiso relacionado con el uso indebido de AWS las credenciales y los intentos de comprometer sus Cuentas de AWS datos. GuardDuty considera críticos todos los tipos de búsqueda de secuencias de ataques. Esta función está habilitada de forma predeterminada y no conlleva ningún coste adicional.

En la AWS SRA, GuardDuty está habilitada en todas las cuentas y AWS Organizations los equipos de seguridad correspondientes pueden ver y procesar todas las conclusiones en la cuenta del administrador GuardDuty delegado (en este caso, la cuenta Security Tooling). GuardDuty Los resultados activos se exportan a un depósito central de S3 en la cuenta de Log Archive, para que pueda conservarlos durante más de 90 días. Los resultados se exportan desde la cuenta de administrador delegado y también incluyen todos los hallazgos de las cuentas de los miembros asociadas en la misma región. Los resultados del depósito de S3 se cifran con una clave gestionada por el AWS KMS cliente. La política de bucket de S3 y la política de claves de KMS están configuradas para permitir el uso exclusivo de los recursos. GuardDuty

Cuando AWS Security Hub CSPM está habilitada, GuardDuty los resultados fluyen automáticamente al Security Hub (CSPM) y al Security Hub. Cuando Amazon Detective está activado, GuardDuty los hallazgos se incluyen en el proceso de ingesta de registros de Detective. GuardDuty y Detective admiten flujos de trabajo de usuarios multiservicio, donde GuardDuty proporciona enlaces desde la consola que lo redirigen desde un hallazgo seleccionado a una página de Detectives que contiene un conjunto de visualizaciones seleccionadas para investigar ese hallazgo. Por ejemplo, también puedes integrarte GuardDuty con Amazon EventBridge para automatizar las mejores prácticas GuardDuty, como la automatización de las respuestas a los nuevos GuardDuty hallazgos.

AWS Config

AWS Configes un servicio que le permite evaluar, auditar y evaluar las configuraciones de los AWS recursos compatibles en su empresa. Cuentas de AWS AWS Config supervisa y registra continuamente las configuraciones AWS de los recursos y evalúa automáticamente las configuraciones registradas comparándolas con las configuraciones deseadas. También puede integrarlo AWS Config con otros servicios para realizar el trabajo pesado de los procesos automatizados de auditoría y supervisión. Por ejemplo, AWS Config puede monitorear los cambios en los secretos individuales de. AWS Secrets Manager

Puede evaluar los ajustes de configuración de sus AWS recursos mediante Reglas de AWS Config. AWS Config proporciona una biblioteca de reglas predefinidas y personalizables denominadas reglas administradas. También puede escribir sus propias reglas personalizadas. Puede ejecutar Reglas de AWS Config en modo proactivo (antes de que se hayan desplegado los recursos) o en modo detective (después de que se hayan desplegado los recursos). Los recursos se pueden evaluar cuando hay cambios de configuración, de forma periódica o en ambos casos. 

Un paquete de conformidad es un conjunto de AWS Config reglas y acciones correctivas que se pueden implementar como una sola entidad en una cuenta y una región, o en toda la organización. AWS Organizations Los paquetes de conformidad se crean mediante la creación de una plantilla YAML que contiene la lista de reglas AWS Config administradas o personalizadas y acciones de corrección. Para empezar a evaluar su AWS entorno, utilice una de las plantillas de paquetes de conformidad de ejemplo.

AWS Config se integra AWS Security Hub CSPM para enviar los resultados de las evaluaciones de reglas AWS Config gestionadas y personalizadas como hallazgos al Security Hub CSPM.

Reglas de AWS Config se puede usar junto con para corregir eficazmente los recursos AWS Systems Manager que no cumplen con las normas. Utiliza Systems Manager Explorer para recopilar el estado de conformidad de AWS Config las reglas en su interfaz Regiones de AWS y, Cuentas de AWS a continuación, utiliza los documentos de automatización de Systems Manager (manuales de ejecución) para resolver las reglas no conformes AWS Config . Para obtener información detallada sobre la implementación, consulte la entrada del blog Cómo corregir las AWS Config reglas no conformes con los manuales de automatización. AWS Systems Manager

El AWS Config agregador recopila datos de configuración y cumplimiento de varias cuentas, regiones y organizaciones en. AWS Organizations El panel del agregador muestra los datos de configuración de los recursos agregados. Los paneles de inventario y cumplimiento ofrecen información esencial y actualizada sobre las configuraciones de sus AWS recursos y el estado de cumplimiento en toda la organización Cuentas de AWS, dentro de Regiones de AWS ella o dentro de ella. AWS Le permiten visualizar y evaluar su inventario de AWS recursos sin necesidad de escribir consultas AWS Config avanzadas. Puede obtener información esencial, como un resumen del cumplimiento por recursos, las 10 cuentas principales que tienen recursos que no cumplen con las normas, una comparación de las EC2 instancias en ejecución y detenidas por tipo y de los volúmenes de EBS por tipo y tamaño de volumen.

Si lo usa AWS Control Tower para administrar su AWS organización, implementará un conjunto de AWS Config reglas como barreras de detección (clasificadas como obligatorias, altamente recomendadas o optativas). Estas barreras le ayudan a controlar sus recursos y a supervisar el cumplimiento en todas las cuentas de su organización. AWS Estas AWS Config reglas utilizarán automáticamente una aws-control-tower etiqueta con un valor de. managed-by-control-tower

AWS Config debe estar habilitada para cada cuenta de miembro de la AWS organización y Región de AWS debe contener los recursos que desee proteger. Puede administrar de forma centralizada las AWS Config reglas (por ejemplo, crear, actualizar y eliminar) en todas las cuentas de su AWS organización. Desde la cuenta de administrador AWS Config delegado, puede implementar un conjunto común de AWS Config reglas en todas las cuentas y especificar las cuentas en las que no se deben crear AWS Config reglas. La cuenta de administrador AWS Config delegado también puede agregar los datos de conformidad y configuración de los recursos de todas las cuentas de los miembros para ofrecer una vista única. Utilice la cuenta APIs de administrador delegado para reforzar la gobernanza y garantizar que las cuentas de los miembros de su AWS organización no puedan modificar las AWS Config reglas subyacentes. AWS Config está integrado de forma nativa para enviar las conclusiones si Security Hub CSPM está habilitado y existe al menos una regla AWS Config gestionada o personalizada. AWS Security Hub CSPM

En la AWS SRA, la cuenta de administrador AWS Config delegado es la cuenta Security Tooling. El canal AWS Config de entrega está configurado para entregar instantáneas de la configuración de los recursos en un depósito S3 centralizado en la cuenta de Log Archive. Como la cuenta Log Archive es el almacén central del repositorio de registros, se utiliza para almacenar la configuración de los recursos.

Amazon Security Lake

Amazon Security Lake es un servicio de lago de datos de seguridad totalmente gestionado. Puede usar Security Lake para centralizar automáticamente los datos de seguridad de AWS entornos, proveedores de software como servicio (SaaS), locales y fuentes de terceros. Security Lake le ayuda a crear una fuente de datos normalizada que simplifica el uso de herramientas de análisis en relación con los datos de seguridad, de modo que pueda comprender mejor su postura de seguridad en toda la organización. El lago de datos está respaldado por buckets de Amazon Simple Storage Service (Amazon S3) y usted retiene la propiedad de sus datos. Security Lake recopila automáticamente los registros de Servicios de AWS Amazon VPC AWS CloudTrail, Amazon Route 53, Amazon S3 y los registros de auditoría, AWS Security Hub CSPM hallazgos y AWS WAF registros de AWS Lambda Amazon EKS.

AWS La SRA recomienda que utilice la cuenta Log Archive como cuenta de administrador delegado de Security Lake. Para obtener más información sobre la configuración de la cuenta de administrador delegado, consulte Amazon Security Lake en la sección Security OU ‒ Cuenta de Log Archive. Los equipos de seguridad que deseen acceder a los datos de Security Lake o que necesiten la capacidad de escribir registros no nativos en los buckets de Security Lake mediante funciones personalizadas de extracción, transformación y carga (ETL) deben operar dentro de la cuenta de Security Tooling.

Security Lake puede recopilar registros de diferentes proveedores de nube, registros de soluciones de terceros u otros registros personalizados. Le recomendamos que utilice la cuenta Security Tooling para realizar las funciones de ETL a fin de convertir los registros al formato Open Cybersecurity Schema Framework (OCSF) y generar un archivo en formato Apache Parquet. Security Lake crea el rol multicuenta con los permisos adecuados para la cuenta de Security Tooling y la fuente personalizada respaldada por funciones o AWS Glue rastreadores de Lambda, para escribir datos en los buckets de S3 de Security Lake.

El administrador de Security Lake debe configurar los equipos de seguridad que usen la cuenta de Security Tooling y requieran acceso a los registros que Security Lake recopila como suscriptores. Security Lake admite dos tipos de acceso de suscriptores:

Para obtener más información sobre la creación de suscriptores, consulte Gestión de suscriptores en la documentación de Security Lake.  

Para conocer las prácticas recomendadas para la ingesta de fuentes personalizadas, consulte Recopilación de datos de fuentes personalizadas en la documentación de Security Lake.

Puede utilizar Amazon Quick Sight, Amazon OpenSearch Service y Amazon SageMaker para configurar los análisis de los datos de seguridad que almacena en Security Lake.

Amazon Macie

Amazon Macie es un servicio de seguridad y privacidad de datos totalmente gestionado que utiliza el aprendizaje automático y la coincidencia de patrones para descubrir y proteger sus datos confidenciales en él. AWS Debe identificar el tipo y la clasificación de los datos que procesa su carga de trabajo para garantizar que se apliquen los controles adecuados. Puede utilizar Macie para automatizar el descubrimiento y la presentación de informes sobre datos confidenciales de dos maneras: mediante la detección automática de datos confidenciales y mediante la creación y ejecución de tareas de descubrimiento de datos confidenciales. Gracias a la detección automática de datos confidenciales, Macie evalúa su inventario de depósitos de S3 a diario y utiliza técnicas de muestreo para identificar y seleccionar objetos representativos de S3 de sus depósitos. A continuación, Macie recupera y analiza los objetos seleccionados, inspeccionándolos en busca de datos confidenciales. Los trabajos de descubrimiento de datos confidenciales proporcionan un análisis más profundo y específico. Con esta opción, puede definir la amplitud y la profundidad del análisis, incluidos los segmentos de S3 que se van a analizar, la profundidad de muestreo y los criterios personalizados que se derivan de las propiedades de los objetos de S3. Si Macie detecta un posible problema con la seguridad o la privacidad de un bucket, crea un resultado de política para usted. La detección automática de datos está habilitada de forma predeterminada para todos los nuevos clientes de Macie, y los clientes actuales de Macie pueden activarla con un solo clic.

Macie está activado en todas las cuentas de forma automática. AWS Organizations Los directores que dispongan de los permisos adecuados en la cuenta de administrador delegado (en este caso, la cuenta Security Tooling) pueden activar o suspender a Macie en cualquier cuenta, crear tareas de descubrimiento de datos confidenciales para los grupos que son propiedad de las cuentas de los miembros y consultar todos los resultados de las políticas de todas las cuentas de los miembros. Los hallazgos de datos confidenciales solo los puede ver la cuenta que creó el trabajo de hallazgos confidenciales. Para obtener más información, consulte Administrar varias cuentas de Macie como una organización en la documentación de Macie.

Los hallazgos de Macie van a parar a ser revisados y AWS Security Hub CSPM analizados. Macie también se integra con Amazon EventBridge para facilitar las respuestas automatizadas a hallazgos como las alertas, las transmisiones a los sistemas de información de seguridad y gestión de eventos (SIEM) y la remediación automática.

Analizador de acceso de IAM

A medida que se acelera el proceso de Nube de AWS adopción y se sigue innovando, es fundamental mantener un control estricto sobre los accesos detallados (permisos), contener la proliferación de accesos y garantizar que los permisos se utilicen de forma eficaz. El acceso excesivo y no utilizado presenta desafíos de seguridad y dificulta que las empresas apliquen el principio de privilegios mínimos. Este principio es un pilar importante de la arquitectura de seguridad que implica ajustar continuamente el tamaño de los permisos de IAM para equilibrar los requisitos de seguridad con los requisitos operativos y de desarrollo de aplicaciones. En este esfuerzo participan múltiples partes interesadas, incluidos los equipos centrales de seguridad y del Centro de Excelencia (CCoE) de la nube, así como los equipos de desarrollo descentralizados.

AWS Identity and Access Management Access Analyzer proporciona herramientas para establecer permisos detallados de manera eficiente, verificar los permisos previstos y refinar los permisos eliminando el acceso no utilizado para ayudarlo a cumplir con los estándares de seguridad de su empresa. Le brinda visibilidad del acceso externo e interno a los AWS recursos y de los hallazgos de acceso no utilizados a través de paneles y. AWS Security Hub CSPM Además, es compatible con Amazon EventBridge para los flujos de trabajo de notificación y corrección personalizados basados en eventos.

La función de resultados del analizador de acceso externo de IAM Access Analyzer le ayuda a identificar los recursos de su AWS organización y sus cuentas, como los buckets de Amazon S3 o las funciones de IAM, que se comparten con una entidad externa. La AWS organización o cuenta que elija se conoce como zona de confianza. El analizador utiliza un razonamiento automatizado para analizar todos los recursos admitidos dentro de la zona de confianza y genera conclusiones para los directores que pueden acceder a los recursos desde fuera de la zona de confianza. Estos resultados ayudan a identificar los recursos que se comparten con una entidad externa y le ayudan a obtener una vista previa de cómo afecta su política al acceso público y multicuenta a su recurso antes de implementar los permisos de los recursos. Está disponible sin coste adicional.

Del mismo modo, la función de búsqueda del analizador de acceso interno de IAM Access Analyzer le ayuda a identificar los recursos de su AWS organización y las cuentas que se comparten con los directores internos de su organización o cuenta. Este análisis respalda el principio del privilegio mínimo al garantizar que solo puedan acceder a los recursos especificados los responsables de la organización. Se trata de una función de pago y su inspección requiere una configuración explícita de los recursos. Utilice esta función con prudencia para monitorear recursos sensibles específicos que, por diseño, deben estar bloqueados incluso internamente.

Las conclusiones de IAM Access Analyzer también le ayudan a identificar los accesos no utilizados que se han concedido a sus AWS organizaciones y cuentas, como los siguientes: 

Puede utilizar las conclusiones generadas por IAM Access Analyzer para obtener visibilidad y corregir cualquier acceso no deseado o no utilizado en función de las políticas y los estándares de seguridad de su organización. Tras la corrección, estos resultados se marcarán como resueltos la próxima vez que se ejecute el analizador. Si el hallazgo es intencional, puede marcarlo como archivado en IAM Access Analyzer y priorizar otros hallazgos que supongan un mayor riesgo de seguridad. Además, puede configurar reglas de archivado para archivar automáticamente los hallazgos específicos. Por ejemplo, puede crear una regla de archivado para archivar automáticamente los resultados de un bucket de Amazon S3 específico al que conceda acceso de forma periódica. 

Como creador, puede utilizar IAM Access Analyzer para realizar comprobaciones automatizadas de las políticas de IAM al principio del proceso de desarrollo e implementación (CI/CD) para cumplir con los estándares de seguridad corporativos. Puede integrar las comprobaciones y revisiones de políticas personalizadas de IAM Access Analyzer AWS CloudFormation para automatizar las revisiones de políticas como parte de los procesos de su equipo de desarrollo. CI/CD Esto incluye: 

Los equipos de seguridad y otros autores de políticas de IAM pueden utilizar IAM Access Analyzer para crear políticas que cumplan con los estándares gramaticales y de seguridad de las políticas de IAM. La creación manual de políticas del tamaño correcto puede ser propensa a errores y llevar mucho tiempo. La función de generación de políticas de IAM Access Analyzer ayuda a crear políticas de IAM que se basan en la actividad de acceso del director. IAM Access Analyzer revisa AWS CloudTrail los registros de los servicios compatibles y genera una plantilla de políticas que contiene los permisos que utilizó el director en el intervalo de fechas especificado. A continuación, puede utilizar esta plantilla para crear una política con permisos detallados que conceda solo los permisos necesarios.

El analizador de acceso de IAM se implementa en la cuenta de Security Tooling a través de la funcionalidad de administrador delegado de. AWS Organizations El administrador delegado tiene permisos para crear y gestionar analizadores con la AWS organización como zona de confianza.

AWS Firewall Manager

AWS Firewall Managerayuda a proteger su red al simplificar las tareas de administración y mantenimiento de los AWS WAF grupos AWS Network Firewall de seguridad de Amazon VPC y el firewall de DNS en varias cuentas Amazon Route 53 Resolver y recursos. AWS Shield Advanced Con Firewall Manager, solo puede configurar las reglas de AWS WAF firewall, las protecciones de Shield Advanced, los grupos de seguridad de Amazon VPC, los firewalls de Network Firewall y las asociaciones de grupos de reglas de DNS Firewall una sola vez. El servicio aplica automáticamente las reglas y las protecciones en todas las cuentas y recursos, incluso cuando se agregan recursos nuevos.

Firewall Manager es especialmente útil cuando desea proteger toda su AWS organización en lugar de un número reducido de cuentas y recursos específicos, o si agrega con frecuencia nuevos recursos que desea proteger. Firewall Manager utiliza políticas de seguridad para permitirle definir un conjunto de configuraciones, incluidas las reglas, protecciones y acciones relevantes que se deben implementar y las cuentas y los recursos (indicados mediante etiquetas) que se deben incluir o excluir. Puede crear configuraciones granulares y flexibles y, al mismo tiempo, ampliar el control a un gran número de cuentas y VPCs. Estas políticas hacen cumplir de forma automática y coherente las reglas que usted configura, incluso cuando se crean nuevas cuentas y recursos. El Firewall Manager está habilitado en todas las cuentas AWS Organizations y la configuración y la administración las realizan los equipos de seguridad correspondientes en la cuenta de administrador delegado de Firewall Manager (en este caso, la cuenta Security Tooling).

Debe habilitar cada una AWS Config de las Región de AWS que contengan los recursos que desee proteger. Si no desea habilitarla AWS Config para todos los recursos, debe habilitarla para los recursos que estén asociados al tipo de políticas de Firewall Manager que utilice. Si utiliza ambos AWS Security Hub CSPM y Firewall Manager, Firewall Manager envía automáticamente los resultados al Security Hub CSPM. Firewall Manager detecta los recursos que no cumplen con las normas y los ataques que detecta, y los envía a Security Hub (CSPM). Al configurar una política de Firewall Manager para AWS WAF, puede habilitar de forma centralizada el registro en las listas de control de acceso web (web ACLs) para todas las cuentas incluidas en el ámbito y centralizar los registros en una sola cuenta.

Con Firewall Manager, puede tener uno o varios administradores que pueden administrar los recursos de firewall de su organización. Al asignar varios administradores, puede aplicar condiciones de ámbito administrativo restrictivas para definir los recursos (cuentas OUs, regiones, tipos de políticas) que cada administrador puede administrar. Esto le da la flexibilidad de tener diferentes funciones de administrador en su organización y le ayuda a mantener el principio de acceso con privilegio mínimo. La AWS SRA utiliza un administrador con todo el alcance administrativo delegado en la cuenta Security Tooling.

Amazon EventBridge

Amazon EventBridge es un servicio de bus de eventos sin servidor que facilita la conexión de sus aplicaciones con datos de diversas fuentes. Se utiliza con frecuencia en la automatización de la seguridad. Puede configurar reglas de enrutamiento para determinar dónde enviar sus datos para crear arquitecturas de aplicaciones que reaccionen en tiempo real a todas sus fuentes de datos. Puede crear un bus de eventos personalizado para recibir eventos de sus aplicaciones personalizadas, además de utilizar el bus de eventos predeterminado en cada cuenta. Puede crear un bus de eventos en la cuenta de Security Tooling que pueda recibir eventos específicos de seguridad de otras cuentas de la organización. AWS Por ejemplo, al vincular Reglas de AWS Config Amazon y AWS Security Hub CSPM con GuardDuty EventBridge, se crea una canalización flexible y automatizada para enrutar los datos de seguridad, generar alertas y gestionar las acciones para resolver los problemas.

Amazon Detective

Amazon Detective apoya su estrategia de control de seguridad responsivo al facilitar el análisis, la investigación y la rápida identificación de la causa raíz de los hallazgos de seguridad o las actividades sospechosas para sus analistas de seguridad. Detective extrae automáticamente los eventos en función del tiempo, como los intentos de inicio de sesión, las llamadas a la API y el tráfico de red, de AWS CloudTrail los registros y los registros de flujo de Amazon VPC. Detective consume estos eventos mediante flujos de CloudTrail registros independientes y registros de flujo de Amazon VPC. Puede usar Detective para acceder a datos de eventos históricos de hasta un año. Detective utiliza el aprendizaje automático y la visualización para crear una vista unificada e interactiva del comportamiento de sus recursos y las interacciones entre ellos a lo largo del tiempo, lo que se denomina gráfico de comportamiento. Puede explorar el gráfico de comportamiento para examinar acciones dispares, como intentos de inicio de sesión fallidos o llamadas sospechosas a la API.

Detective se integra con Amazon Security Lake para permitir a los analistas de seguridad consultar y recuperar los registros almacenados en Security Lake. Puede utilizar esta integración para obtener información adicional de CloudTrail los registros y los registros de flujo de Amazon VPC que se almacenan en Security Lake mientras realiza investigaciones de seguridad en Detective.

Detective también analiza los hallazgos detectados por Amazon GuardDuty, incluidas las amenazas detectadas por GuardDuty Runtime Monitoring. Cuando una cuenta habilita Detective, se convierte en la cuenta de administrador del gráfico de comportamiento. Antes de intentar activar Detective, asegúrate de que tu cuenta ha estado inscrita GuardDuty durante al menos 48 horas. Si no cumples este requisito, no podrás activarla DetectiveDetective.

Las fuentes de datos opcionales adicionales para Detective incluyen los registros de auditoría de Amazon EKS y AWS Security Hub CSPM. La fuente de datos del registro de auditoría de Amazon EKS mejora la información proporcionada sobre los siguientes tipos de entidades: clústeres de Amazon EKS, pods de Kubernetes, imágenes de contenedores y asuntos de Kubernetes. La fuente de datos del Security Hub forma parte de los hallazgos de AWS seguridad, donde correlaciona los hallazgos de los productos en Security Hub y los incorpora a Detective.

Detective agrupa automáticamente varios hallazgos relacionados con un único evento de compromiso de seguridad en grupos de búsqueda. Los actores de las amenazas suelen realizar una secuencia de acciones que conducen a múltiples hallazgos de seguridad repartidos en el tiempo y los recursos. Por lo tanto, encontrar grupos debe ser el punto de partida para las investigaciones que involucren múltiples entidades y hallazgos. Detective también proporciona resúmenes de grupos de búsqueda mediante el uso de IA generativa que analiza automáticamente la búsqueda de grupos y proporciona información en lenguaje natural para ayudarlo a acelerar las investigaciones de seguridad.

Detective se integra con AWS Organizations. La cuenta de administración de la organización delega una cuenta de miembro como cuenta de administrador de Detective. En la AWS SRA, se trata de la cuenta Security Tooling. La cuenta de administrador de Detective tiene la capacidad de habilitar automáticamente todas las cuentas de los miembros actuales de la organización como cuentas de miembros de Detective y también agregar nuevas cuentas de miembros a medida que se agregan a la AWS organización. Las cuentas de los administradores de Detectives también tienen la capacidad de invitar a las cuentas de miembros que actualmente no residen en la AWS organización, pero que se encuentran dentro de la misma región, a contribuir con sus datos al gráfico de comportamiento de la cuenta principal. Cuando una cuenta de miembro acepta la invitación y está habilitada, Detective comienza a ingerir y extraer los datos de la cuenta de miembro en ese gráfico de comportamiento.

AWS Audit Manager

AWS Audit Managerle ayuda a auditar continuamente su AWS uso para simplificar la gestión de las auditorías y el cumplimiento de las normativas y los estándares del sector. Le permite pasar de la recopilación, revisión y gestión manual de las pruebas a una solución que automatiza la recopilación de pruebas, proporciona una forma sencilla de rastrear la fuente de las pruebas de auditoría, permite la colaboración en equipo y ayuda a gestionar la seguridad e integridad de las pruebas. Llegado el momento de una auditoría, Audit Manager le ayuda a gestionar las revisiones de sus controles por parte de las personas interesadas.

Con Audit Manager, puede realizar auditorías con marcos prediseñados, como el punto de referencia Center for Internet Security (CIS), el CIS AWS Foundations Benchmark, System and Organization Controls 2 (SOC 2) y el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). También le permite crear sus propios marcos con controles estándar o personalizados en función de sus requisitos específicos de auditoría interna.

Audit Manager recopila cuatro tipos de pruebas. Se automatizan tres tipos de pruebas: las pruebas de control de conformidad procedentes de las llamadas a la AWS service-to-service API AWS Config y procedentes de ellas AWS Security Hub CSPM, las pruebas de AWS CloudTrail los eventos de gestión y las pruebas de configuración procedentes de ellas. Para las pruebas que no se pueden automatizar, Audit Manager le permite cargar pruebas manuales.

De forma predeterminada, los datos de Audit Manager se cifran mediante claves AWS gestionadas. La AWS SRA utiliza una clave administrada por el cliente para el cifrado a fin de proporcionar un mayor control sobre el acceso lógico. También debe configurar un bucket de S3 en el Región de AWS que Audit Manager publique el informe de evaluación. Estos depósitos deben estar cifrados con una clave gestionada por el cliente y tener una política de depósitos configurada para permitir que solo Audit Manager publique informes.  

Las evaluaciones de Audit Manager pueden ejecutarse en varias cuentas de sus AWS organizaciones. Audit Manager recopila y consolida las pruebas en una cuenta de administrador delegado en. AWS Organizations Esta funcionalidad de auditoría la utilizan principalmente los equipos de cumplimiento y auditoría interna, y solo requiere acceso de lectura a la suya. Cuentas de AWS

AWS Artifact

AWS Artifactestá alojada en la cuenta Security Tooling para separar la funcionalidad de gestión de artefactos de conformidad de la cuenta de gestión de la organización. AWS Esta separación de funciones es importante porque le recomendamos que evite utilizar la cuenta de administración de la AWS organización para las implementaciones, a menos que sea absolutamente necesario. En su lugar, transfiera las implementaciones a las cuentas de los miembros. Como la administración de artefactos de auditoría se puede realizar desde la cuenta de un miembro y la función se alinea estrechamente con el equipo de seguridad y cumplimiento, la cuenta Security Tooling se designa como la cuenta de administrador de. AWS Artifact Puede utilizar AWS Artifact los informes para descargar documentos de AWS seguridad y conformidad, como las certificaciones AWS ISO, los informes del sector de las tarjetas de pago (PCI) y de los controles de sistemas y organizaciones (SOC).

AWS Artifact no es compatible con la función de administración delegada. En su lugar, puede restringir esta capacidad a solo las funciones de IAM de la cuenta de Security Tooling que pertenezcan a sus equipos de auditoría y cumplimiento, de modo que puedan descargar, revisar y proporcionar esos informes a los auditores externos según sea necesario. Además, puede restringir funciones específicas de IAM para tener acceso únicamente a AWS Artifact informes específicos mediante las políticas de IAM. Para ver ejemplos de políticas de IAM, consulta la documentación.AWS Artifact

AWS KMS

AWS Key Management Service(AWS KMS) le ayuda a crear y administrar claves criptográficas y a controlar su uso en una amplia gama de aplicaciones Servicios de AWS y dentro de ellas. AWS KMS es un servicio seguro y resistente que utiliza módulos de seguridad de hardware para proteger las claves criptográficas. Sigue los procesos de ciclo de vida estándar del sector para el material clave, como el almacenamiento, la rotación y el control de acceso a las claves. AWS KMS puede ayudar a proteger sus datos con claves de cifrado y firma, y se puede utilizar tanto para el cifrado del lado del servidor como para el cifrado del lado del cliente mediante el SDK de cifrado.AWS Para mayor protección y flexibilidad, AWS KMS admite tres tipos de claves: claves administradas por el cliente, claves AWS administradas y claves propias. AWS Las claves administradas por el cliente son AWS KMS claves Cuenta de AWS que usted crea, posee y administra. AWS las claves gestionadas son AWS KMS claves de tu cuenta que se crean, gestionan Servicio de AWS y utilizan en tu nombre y están integradas en ella AWS KMS. AWS las claves propias son un conjunto de AWS KMS claves que una persona Servicio de AWS posee y administra para utilizarlas en múltiples ocasiones Cuentas de AWS. Para obtener más información sobre el uso de AWS KMS claves, consulte la AWS KMS documentación y los detalles AWS KMS criptográficos.

Una opción de implementación consiste en centralizar la responsabilidad de la administración de AWS KMS claves en una sola cuenta y, al mismo tiempo, delegar la capacidad de usar las claves de la cuenta de la aplicación por parte de los recursos de la aplicación mediante una combinación de políticas clave y de IAM. Este enfoque es seguro y sencillo de administrar, pero puede encontrar obstáculos debido a la AWS KMS limitación de los límites, a los límites de servicio de las cuentas y a la sobrecarga de tareas operativas del equipo de seguridad por parte del equipo de seguridad. Otra opción de implementación es tener un modelo descentralizado en el que se permita AWS KMS residir en varias cuentas y permitir que los responsables de la infraestructura y las cargas de trabajo de una cuenta específica administren sus propias claves. Este modelo proporciona a sus equipos de carga de trabajo más control, flexibilidad y agilidad en cuanto al uso de las claves de cifrado. También ayuda a evitar los límites de las API, limita el alcance del impacto a uno Cuenta de AWS solo y simplifica la elaboración de informes, la auditoría y otras tareas relacionadas con el cumplimiento. En un modelo descentralizado, es importante implementar y reforzar las barreras de seguridad para que las claves descentralizadas se administren de la misma manera y el uso de las AWS KMS claves se audite de acuerdo con las mejores prácticas y políticas establecidas. Para obtener más información, consulte el documento técnico AWS Key Management Service Mejores prácticas. AWS La SRA recomienda un modelo de administración de claves distribuidas en el que las AWS KMS claves residan localmente en la cuenta en la que se utilizan. Le recomendamos que evite usar una sola clave en una cuenta para todas las funciones criptográficas. Las claves se pueden crear en función de los requisitos de función y protección de datos, y para hacer cumplir el principio del privilegio mínimo. En algunos casos, los permisos de cifrado se mantendrían separados de los permisos de descifrado y los administradores gestionarían las funciones del ciclo de vida, pero no podrían cifrar ni descifrar los datos con las claves que administran.

En la cuenta Security Tooling, AWS KMS se utiliza para gestionar el cifrado de los servicios de seguridad centralizados, como el registro organizativo gestionado por la AWS CloudTrail organización. AWS

AWS Private CA

AWS Private Certificate Authority(AWS Private CA) es un servicio de CA privado gestionado que le ayuda a gestionar de forma segura el ciclo de vida de sus certificados TLS de entidades finales privadas para EC2 instancias, contenedores, dispositivos de IoT y recursos locales. Permite las comunicaciones TLS cifradas con las aplicaciones en ejecución. Con él AWS Private CA, puede crear su propia jerarquía de entidades de certificación (desde una CA raíz, hasta una subordinada CAs, hasta los certificados de la entidad final) y emitir certificados con ella para autenticar a los usuarios internos, los ordenadores, las aplicaciones, los servicios, los servidores y otros dispositivos, así como para firmar el código informático. Los certificados emitidos por una entidad emisora de certificados privada solo son de confianza en su AWS organización, no en Internet.

Una infraestructura de clave pública (PKI) o un equipo de seguridad pueden ser responsables de administrar toda la infraestructura de la PKI. Esto incluye la administración y la creación de la CA privada. Sin embargo, debe haber una disposición que permita a los equipos de carga de trabajo cumplir por sí mismos sus requisitos de certificación. La AWS SRA describe una jerarquía de CA centralizada en la que la CA raíz se aloja en la cuenta de Security Tooling. Esto permite a los equipos de seguridad aplicar controles de seguridad estrictos, ya que la CA raíz es la base de toda la PKI. Sin embargo, la creación de certificados privados desde la CA privada se delega en los equipos de desarrollo de aplicaciones, que comparten la CA con una cuenta de aplicación mediante AWS Resource Access Manager ()AWS RAM. AWS RAM administra los permisos necesarios para compartir entre cuentas. Esto elimina la necesidad de una CA privada en cada cuenta y proporciona una forma de implementación más rentable. Para obtener más información sobre el flujo de trabajo y la implementación, consulte la entrada del blog Cómo usar AWS RAM para compartir AWS Private CA cuentas múltiples.

Amazon Inspector

Amazon Inspector es un servicio automatizado de gestión de vulnerabilidades que descubre y escanea automáticamente las EC2 instancias de Amazon, las imágenes de contenedores del Amazon Elastic Container Registry (Amazon ECR) AWS Lambda , las funciones y los repositorios de código de sus administradores de código fuente para detectar vulnerabilidades de software conocidas y exposiciones no intencionadas en la red.

Amazon Inspector evalúa continuamente su entorno a lo largo del ciclo de vida de sus recursos, escaneando automáticamente los recursos cada vez que los modifica. Los eventos que inician la redigitalización de un recurso incluyen la instalación de un nuevo paquete en una EC2 instancia, la instalación de un parche y la publicación de un nuevo informe sobre vulnerabilidades y exposiciones comunes (CVE) que afecta al recurso. Amazon Inspector apoya las evaluaciones comparativas del Centro de Seguridad de Internet (CIS) para los sistemas operativos en EC2 las instancias.

Amazon Inspector se integra con herramientas para desarrolladores, como Jenkins, y TeamCity para la evaluación de imágenes de contenedores. Puede evaluar las imágenes de sus contenedores para detectar vulnerabilidades de software en el panel de control de la CI/CD) tools, and push security to an earlier point in the software development lifecycle. Assessment findings are available in the CI/CD herramienta de integración continua y entrega continua, de forma que pueda realizar acciones automatizadas en respuesta a problemas de seguridad críticos, como el bloqueo de compilaciones o el envío de imágenes a los registros de contenedores. Si tienes uno activo Cuenta de AWS, puedes instalar el complemento Amazon Inspector desde tu tienda de CI/CD herramientas y añadir un escaneo de Amazon Inspector a tu proceso de creación sin necesidad de activar el servicio Amazon Inspector. Esta función funciona con CI/CD herramientas alojadas en cualquier lugar (de forma local AWS, local o en nubes híbridas), por lo que puedes usar una única solución de forma uniforme en todos tus procesos de desarrollo. Cuando Amazon Inspector está activado, descubre automáticamente todas las EC2 instancias, las imágenes de contenedores en Amazon ECR y CI/CD las herramientas y las funciones de Lambda a escala, y las monitorea continuamente para detectar vulnerabilidades conocidas.

Los resultados de accesibilidad de la red de Amazon Inspector evalúan la accesibilidad de las EC2 instancias hacia o desde los bordes de la VPC, como las puertas de enlace de Internet, las conexiones de emparejamiento de VPC o las redes privadas virtuales () a través de una puerta de enlace virtual. VPNs Estas reglas ayudan a automatizar la supervisión de sus AWS redes e identificar dónde puede estar mal configurado el acceso de red a sus EC2 instancias debido a una mala administración de los grupos de seguridad, las listas de control de acceso (ACLs), las pasarelas de Internet, etc. Para obtener más información, consulta la documentación de Amazon Inspector.

Cuando Amazon Inspector identifica vulnerabilidades o rutas de red abiertas, produce una conclusión que usted puede investigar. El hallazgo incluye detalles exhaustivos sobre la vulnerabilidad, incluida una puntuación de riesgo, el recurso afectado y recomendaciones de remediación. La puntuación de riesgo se adapta específicamente a su entorno y se calcula correlacionando la información de la up-to-date CVE con factores temporales y ambientales, como la información sobre la accesibilidad y la explotabilidad de la red, a fin de proporcionar una conclusión contextual.

Amazon Inspector Code Security analiza el código fuente de las aplicaciones propias, las dependencias de las aplicaciones de terceros y la infraestructura como código (IaC) en busca de vulnerabilidades. Después de activar Code Security, puede crear y aplicar una configuración de escaneo a su repositorio de código para determinar la frecuencia, el tipo de escaneo y los repositorios que se escanearán. Code Security admite las pruebas estáticas de seguridad de las aplicaciones (SAST), el análisis de la composición del software (SCA) y el escaneo de iAC. Para configurar la frecuencia, puede definir los escaneos a pedido, al cambiar el código o de forma periódica. El análisis de código captura fragmentos de código para resaltar las vulnerabilidades detectadas. Los fragmentos de código se almacenan cifrados con claves KMS. El administrador delegado de una organización no puede ver los fragmentos de código que pertenecen a las cuentas de miembros. Tras integrar los gestores de código fuente (SCMs) con Code Security, todos los repositorios de código se muestran como proyectos en la consola de Amazon Inspector. Code Security supervisa solo la rama predeterminada de cada repositorio. Amazon Inspector optimiza las soluciones de seguridad al proporcionar recomendaciones específicas de corrección de código directamente donde trabajan los desarrolladores. La integración bidireccional con su SCM sugiere automáticamente correcciones en forma de comentarios en las solicitudes de extracción (PRs) y en las solicitudes de fusión (MRs) en caso de hallazgos importantes o importantes, y alerta a los desarrolladores sobre las vulnerabilidades más importantes que deben abordar sin interrumpir su flujo de trabajo. 

Para detectar vulnerabilidades, las EC2 instancias deben gestionarse AWS Systems Manager mediante AWS Systems Manager Agent (). SSMAgent  No se requieren agentes para que las EC2 instancias puedan acceder a la red ni para escanear las vulnerabilidades de las imágenes de contenedores en las funciones de Amazon ECR o Lambda.

Amazon Inspector está integrado con la administración delegada AWS Organizations y es compatible con ella. En la AWS SRA, la cuenta Security Tooling se convierte en la cuenta de administrador delegado de Amazon Inspector. La cuenta de administrador delegado de Amazon Inspector puede gestionar los datos de los hallazgos y determinados ajustes de los miembros de la AWS organización. Esto incluye ver los detalles de los resultados agregados de todas las cuentas de los miembros, habilitar o deshabilitar los escaneos de las cuentas de los miembros y revisar los recursos escaneados dentro de la AWS organización.

Respuesta frente a incidencias de seguridad de AWS

Respuesta frente a incidencias de seguridad de AWSes un servicio que le ayuda a prepararse y responder a los incidentes de seguridad en su entorno. AWS Clasifica las conclusiones, intensifica los eventos de seguridad y gestiona los casos que requieren su atención inmediata. Además, le da acceso al equipo de respuesta a incidentes del AWS cliente (CIRT), que investiga los recursos afectados. Respuesta frente a incidencias de seguridad de AWS también proporciona capacidades automatizadas de respuesta y reparación mediante AWS Systems Manager documentos (documentos SSM), que ayudan a los equipos de seguridad a responder a los incidentes de seguridad y a recuperarse de ellos de manera más eficiente. Respuesta frente a incidencias de seguridad de AWS se integra con Amazon GuardDuty y AWS Security Hub CSPM para recibir hallazgos de seguridad y organizar respuestas automatizadas.

En la AWS SRA, Respuesta frente a incidencias de seguridad de AWS se implementa en la cuenta de Security Tooling como una cuenta de administrador delegado. Se selecciona la cuenta Security Tooling porque se ajusta al propósito de la cuenta de operar los servicios de seguridad y automatizar las alertas y respuestas de seguridad. La cuenta Security Tooling también actúa como cuenta de administrador delegado para Security Hub CSPM y GuardDuty, además Respuesta frente a incidencias de seguridad de AWS, ayuda a simplificar la administración del flujo de trabajo. Respuesta frente a incidencias de seguridad de AWS está configurada para funcionar con ella AWS Organizations, de forma que pueda gestionar las respuestas a los incidentes en todas las cuentas de su organización desde la cuenta Security Tooling.

Respuesta frente a incidencias de seguridad de AWS le ayuda a implementar las siguientes fases del ciclo de vida de la respuesta a los incidentes:

También se puede utilizar Respuesta frente a incidencias de seguridad de AWS para crear casos autogestionados. Respuesta frente a incidencias de seguridad de AWS puedes crear una notificación o un caso saliente cuando necesites estar al tanto de algo que pueda afectar a tu cuenta o a tus recursos o tomar alguna medida al respecto. Esta función solo está disponible cuando habilitas los flujos de trabajo de respuesta proactiva y clasificación de alertas como parte de tu suscripción.

Implementación de servicios de seguridad comunes en todas Cuentas de AWS

En la sección Aplicar servicios de seguridad en toda AWS la organización, que aparece anteriormente en esta referencia Cuenta de AWS, se destacaban los servicios de seguridad que protegen y se señala que muchos de estos servicios también se pueden configurar y gestionar desde dentro AWS Organizations. Algunos de estos servicios deberían implementarse en todas las cuentas y los verás en la AWS SRA. Esto permite un conjunto coherente de barreras y proporciona supervisión, administración y gobierno centralizados en toda la organización. AWS

Security Hub CSPM,, GuardDuty AWS Config, IAM Access Analyzer y los registros de la CloudTrail organización aparecen en todas las cuentas. Los tres primeros admiten la función de administrador delegado que se analizó anteriormente en la sección La cuenta de administración, el acceso confiable y los administradores delegados. CloudTrail actualmente utiliza un mecanismo de agregación diferente.

El repositorio de GitHub código AWS SRA proporciona un ejemplo de implementación para habilitar Security Hub CSPM,, GuardDuty AWS Config, y registros organizativos en todas sus cuentas AWS Firewall Manager, incluida la cuenta de administración de la CloudTrail AWS organización.