El valor de la AWS SRA - AWS Guía prescriptiva
¿Cómo usar la SRA AWSDirectrices clave de implementación de la SRA AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

El valor de la AWS SRA

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta.

AWS cuenta con un amplio (y creciente) conjunto de servicios de seguridad y relacionados con la seguridad. Los clientes han expresado su agradecimiento por la información detallada disponible en la documentación de nuestro servicio, las publicaciones de blog, los tutoriales, las cumbres y las conferencias. También nos dicen que quieren entender mejor el panorama general y obtener una visión estratégica de los servicios de AWS seguridad. Cuando trabajamos con los clientes para comprender mejor lo que necesitan, surgen tres prioridades:

  • Los clientes desean más información y patrones recomendados sobre cómo pueden implementar, configurar y operar los servicios de AWS seguridad de manera integral. ¿En qué cuentas y con qué objetivos de seguridad se deben implementar y administrar los servicios? ¿Hay una cuenta de seguridad en la que deban operar todos o la mayoría de los servicios? ¿Cómo influye la elección de la ubicación (unidad organizativa o unidad organizativa Cuenta de AWS) en los objetivos de seguridad? ¿Qué ventajas y desventajas (consideraciones de diseño) deben tener en cuenta los clientes?

  • Los clientes están interesados en ver diferentes perspectivas para organizar de forma lógica los numerosos servicios de seguridad. AWS Más allá de la función principal de cada servicio (por ejemplo, los servicios de identidad o los servicios de registro), estos puntos de vista alternativos ayudan a los clientes a planificar, diseñar e implementar su arquitectura de seguridad. Un ejemplo que se comparte más adelante en este documento agrupa los servicios según los niveles de protección alineados con la estructura recomendada de su AWS entorno.

  • Los clientes buscan orientación y ejemplos para integrar los servicios de seguridad de la manera más eficaz. Por ejemplo, ¿cuál es la mejor manera de alinearse y conectarse AWS Config con otros servicios para hacer el trabajo pesado de los procesos automatizados de auditoría y supervisión? Los clientes solicitan orientación sobre la forma en que cada servicio de AWS seguridad depende de otros servicios de seguridad o los apoya.

Abordamos cada uno de estos aspectos en la AWS SRA. La primera prioridad de la lista (a dónde van las cosas) es centrarse en el diagrama de arquitectura principal y en las discusiones que lo acompañan en este documento. Proporcionamos una AWS Organizations arquitectura recomendada y una account-by-account descripción de qué servicios van a cada lugar. Para empezar con la segunda prioridad de la lista (cómo pensar en el conjunto completo de servicios de seguridad), lea la sección Aplicar los servicios de seguridad en toda AWS la organización. En esta sección se describe una forma de agrupar los servicios de seguridad según la estructura de los elementos de AWS la organización. Además, esas mismas ideas se reflejan en el análisis de la cuenta de aplicaciones, que destaca cómo se pueden operar los servicios de seguridad para centrarse en determinadas capas de la cuenta: las instancias de Amazon Elastic Compute Cloud (Amazon EC2), las redes de Amazon Virtual Private Cloud (Amazon VPC) y la cuenta más amplia. Por último, la tercera prioridad (la integración de servicios) se refleja en toda la guía, especialmente en la discusión de los servicios individuales en las guías de análisis detallado de la biblioteca AWS SRA y el código en el repositorio de códigos de la AWS SRA.

¿Cómo usar la SRA AWS

Existen diferentes formas de utilizar la AWS SRA en función del punto en el que se encuentre en el proceso de adopción de la nube. Esta es una lista de formas de obtener el máximo conocimiento de los activos de la AWS SRA (diagrama de arquitectura, orientación escrita y ejemplos de código).

  • Defina el estado objetivo de su propia arquitectura de seguridad.

    Tanto si acaba de empezar su Nube de AWS viaje (configurar su primer conjunto de cuentas) como si planea mejorar un AWS entorno establecido, la AWS SRA es el lugar ideal para empezar a crear su arquitectura de seguridad. Comience con una base integral de estructura contable y servicios de seguridad y, a continuación, ajústelos en función de su conjunto tecnológico, sus habilidades, sus objetivos de seguridad y sus requisitos de conformidad específicos. Si sabe que va a crear y lanzar más cargas de trabajo, puede utilizar su versión personalizada de la AWS SRA como base para la arquitectura de referencia de seguridad de su organización. Para saber cómo puede alcanzar el estado objetivo descrito por la AWS SRA, consulte la sección Creación de su arquitectura de seguridad: un enfoque gradual.  

  • Revise (y revise) los diseños y las capacidades que ya ha implementado.

    Si ya tiene un diseño e implementación de seguridad, vale la pena tomarse un tiempo para comparar lo que tiene con la AWS SRA. La AWS SRA está diseñada para ser integral y proporciona una base de diagnóstico para revisar su propia seguridad. Si sus diseños de seguridad se ajustan a la AWS SRA, puede estar más seguro de que está siguiendo las mejores prácticas a la hora de utilizarla. Servicios de AWS Si sus diseños de seguridad difieren o incluso no están de acuerdo con las directrices de la AWS SRA, esto no es necesariamente una señal de que esté haciendo algo mal. En cambio, esta observación le brinda la oportunidad de revisar su proceso de toma de decisiones. Existen razones comerciales y tecnológicas legítimas por las que podría desviarse de las mejores prácticas de la AWS SRA. Es posible que sus requisitos particulares de conformidad, normativa o seguridad de la organización requieran configuraciones de servicio específicas. O bien, en lugar de utilizarlas Servicios de AWS, es posible que prefiera una función para un producto AWS Partner Network o una aplicación personalizada que haya creado y gestionado. A veces, durante esta revisión, es posible que descubra que sus decisiones anteriores se basaron en tecnologías, AWS funciones o limitaciones empresariales antiguas que ya no se aplican. Es una buena oportunidad para revisar las actualizaciones, priorizarlas y añadirlas al lugar correspondiente de su cartera de tareas de ingeniería. Independientemente de lo que descubra al evaluar su arquitectura de seguridad a la luz de la AWS SRA, le resultará útil documentar ese análisis. Tener ese registro histórico de las decisiones y sus justificaciones puede ayudar a informar y priorizar las decisiones futuras.

  • Inicie la implementación de su propia arquitectura de seguridad.

    AWS Los módulos de infraestructura como código (IaC) de SRA proporcionan una forma rápida y fiable de empezar a crear e implementar su arquitectura de seguridad. Estos módulos se describen con más detalle en la sección del repositorio de código y en el repositorio público GitHub . No solo permiten a los ingenieros basarse en ejemplos de alta calidad de los patrones de la guía de la AWS SRA, sino que también incorporan los controles de seguridad recomendados, como las políticas de contraseñas de IAM, el acceso público a las cuentas bloqueadas del Amazon Simple Storage Service (Amazon S3), el acceso público a las cuentas bloqueadas, el cifrado predeterminado de EC2 Amazon Elastic Block Store (Amazon EBS) y la integración AWS Control Tower para aplicar o eliminar los controles a medida que se incorporan nuevos controles. o fuera de servicio. Cuentas de AWS

  • Obtenga más información sobre los servicios y capacidades de seguridad. AWS

    Las directrices y los debates de la AWS SRA incluyen características importantes, así como consideraciones sobre la implementación y la administración de los servicios individuales de AWS seguridad y relacionados con la seguridad. Una característica de la AWS SRA es que proporciona una introducción de alto nivel sobre la variedad de los servicios de AWS seguridad y cómo funcionan juntos en un entorno de múltiples cuentas. Esto complementa el análisis profundo de las funciones y la configuración de cada servicio que se encuentra en otras fuentes. Un ejemplo de ello es el análisis de cómo AWS Security Hub Cloud Security Posture Management (AWS Security Hub CSPM) incorpora los hallazgos de seguridad de una variedad de Servicios de AWS AWS Partner productos e incluso de sus propias aplicaciones.

  • Organice un debate sobre el gobierno de la organización y las responsabilidades en materia de seguridad.

    Un elemento importante al diseñar e implementar cualquier arquitectura o estrategia de seguridad es comprender qué miembros de la organización tienen qué responsabilidades relacionadas con la seguridad. Por ejemplo, la cuestión de dónde agrupar y supervisar los hallazgos de seguridad está vinculada a la cuestión de qué equipo será responsable de esa actividad. ¿Todos los hallazgos de la organización son supervisados por un equipo central que necesita acceder a una cuenta específica de Security Tooling? ¿O son los equipos de aplicaciones individuales (o unidades de negocio) responsables de determinadas actividades de supervisión y, por lo tanto, necesitan acceder a determinadas herramientas de alerta y supervisión? Como otro ejemplo, si su organización tiene un grupo que administra todas las claves de cifrado de forma centralizada, eso influirá en quién tiene permiso para crear AWS Key Management Service (AWS KMS) claves y en qué cuentas se administrarán esas claves. Comprender las características de su organización (los distintos equipos y responsabilidades) le ayudará a diseñar la SRA para que se adapte mejor a sus necesidades. AWS Por el contrario, a veces, el debate sobre la arquitectura de seguridad se convierte en el impulso para analizar las responsabilidades organizativas existentes y considerar los posibles cambios. AWS recomienda un proceso de toma de decisiones descentralizado en el que los equipos de carga de trabajo sean responsables de definir los controles de seguridad en función de sus funciones y requisitos de carga de trabajo. El objetivo de un equipo centralizado de seguridad y gobierno es crear un sistema que permita a los propietarios de la carga de trabajo tomar decisiones informadas y a todas las partes obtener visibilidad de la configuración, los hallazgos y los eventos. La AWS SRA puede ser un medio para identificar e informar estas discusiones.

Directrices clave de implementación de la SRA AWS

Estas son ocho conclusiones clave de la AWS SRA que debe tener en cuenta al diseñar e implementar su seguridad.  

  • AWS Organizations y una estrategia multicuenta adecuada son elementos necesarios de su arquitectura de seguridad. La separación adecuada de las cargas de trabajo, los equipos y las funciones constituye la base para separar las tareas y defense-in-depth las estrategias. La guía trata este tema con más detalle en una sección posterior.

  • Defense-in-depth es una consideración de diseño importante a la hora de seleccionar los controles de seguridad para su organización. Le ayuda a introducir los controles de seguridad adecuados en las diferentes capas de la AWS Organizations estructura, lo que ayuda a minimizar el impacto de un problema: si hay un problema en una capa, existen controles que aíslan otros recursos de TI valiosos. La AWS SRA demuestra cómo Servicios de AWS funcionan las diferentes capas del conjunto de AWS tecnologías y cómo el uso combinado de esos servicios le ayuda a lograrlo. defense-in-depth Este defense-in-depth concepto AWS se analiza con más detalle en una sección posterior con ejemplos de diseño que se muestran en la cuenta de aplicaciones.

  • Utilice la amplia variedad de componentes básicos de seguridad en múltiples Servicios de AWS y funciones para crear una infraestructura de nube sólida y resistente. Al adaptar la AWS SRA a sus necesidades particulares, tenga en cuenta no solo la función Servicios de AWS y las características principales (por ejemplo, la autenticación, el cifrado, la supervisión o la política de permisos), sino también la forma en que se integran en la estructura de su arquitectura. En una sección posterior de la guía se describe cómo funcionan algunos servicios en toda AWS la organización. Otros servicios funcionan mejor en una sola cuenta, y algunos están diseñados para conceder o denegar permisos a directores individuales. Tener en cuenta estas dos perspectivas le ayuda a crear un enfoque de seguridad por capas más flexible.

  • Siempre que sea posible (tal y como se detalla en secciones posteriores), utilice esta opción, Servicios de AWS que se pueda implementar en todas las cuentas (distribuidas en lugar de centralizadas) y cree un conjunto coherente de barreras de protección compartidas que puedan ayudar a proteger sus cargas de trabajo contra el uso indebido y a reducir el impacto de los eventos de seguridad. La AWS SRA utiliza AWS Security Hub CSPM (monitoreo centralizado de búsquedas y controles de cumplimiento), Amazon GuardDuty (detección de amenazas y detección de anomalías), AWS Config (monitoreo de recursos y detección de cambios), IAM Access Analyzer (monitoreo de acceso a los recursos), AWS CloudTrail (registro de la actividad de la API del servicio en todo su entorno) y Amazon Macie (clasificación de Servicios de AWS datos) como conjunto base que se implementará en todos. Cuenta de AWS

  • Utilice la función de administración delegada de AWS Organizations, cuando sea compatible, como se explica más adelante en la sección de administración delegada de la guía. Esto le permite registrar una cuenta de AWS miembro como administrador de los servicios compatibles. La administración delegada proporciona flexibilidad para que los distintos equipos de la empresa utilicen cuentas independientes, según corresponda a sus responsabilidades, para gestionar Servicios de AWS todo el entorno. Además, el uso de un administrador delegado le ayuda a limitar el acceso a la cuenta de administración y a administrar la sobrecarga de permisos de la cuenta de AWS Organizations administración.

  • Implemente la supervisión, la administración y la gobernanza centralizadas en todas sus AWS organizaciones. Al utilizar estas funciones Servicios de AWS compatibles con la agregación de varias cuentas (y, a veces, de varias regiones), junto con las funciones de administración delegada, permite a sus equipos centrales de ingeniería de seguridad, redes y nube tener una amplia visibilidad y control sobre la configuración de seguridad y la recopilación de datos adecuadas. Además, los datos se pueden devolver a los equipos de carga de trabajo para que puedan tomar decisiones de seguridad eficaces en una fase temprana del ciclo de vida del desarrollo del software (SDLC).

  • Úselo AWS Control Tower para configurar y administrar su AWS entorno de múltiples cuentas con la implementación de controles de seguridad prediseñados para impulsar su arquitectura de referencia de seguridad. AWS Control Tower proporciona un plan para proporcionar administración de identidades, acceso federado a las cuentas, registro centralizado y flujos de trabajo definidos para el aprovisionamiento de cuentas adicionales. A continuación, puede utilizar la solución Customizations for AWS Control Tower (cFCT) para basar las cuentas gestionadas AWS Control Tower con controles de seguridad, configuraciones de servicio y gobernanza adicionales, como lo demuestra el repositorio de códigos de la SRA. AWS La función de fábrica de cuentas aprovisiona automáticamente las nuevas cuentas con plantillas configurables basadas en la configuración de cuentas aprobada para estandarizar las cuentas de sus organizaciones. AWS También puede extender la gobernanza a una persona existente Cuenta de AWS inscribiéndola en una unidad organizativa (OU) que ya esté regida por ella. AWS Control Tower

  • Los ejemplos de código de la AWS SRA muestran cómo se puede automatizar la implementación de los patrones de la guía de la AWS SRA mediante el uso de la infraestructura como código (IaC). Al codificar los patrones, puede tratar la IaC como cualquier otra aplicación de su organización y automatizar las pruebas antes de implementar el código. La IaC también ayuda a garantizar la coherencia y la repetibilidad mediante la implementación de barreras de protección en varios entornos (por ejemplo, SDLC o específicos de una región). Los ejemplos de código SRA se pueden implementar en un entorno de varias cuentas, con o sin él. AWS Organizations AWS Control Tower Las soluciones de este repositorio que se requieren se AWS Control Tower han implementado y probado en un AWS Control Tower entorno mediante AWS CloudFormation el uso de personalizaciones para AWS Control Tower (cFCT). Las soluciones que no lo requieren se AWS Control Tower han probado en un AWS Organizations entorno mediante el uso.AWS CloudFormation Si no la usa AWS Control Tower, puede usar la solución de implementación AWS Organizations basada en datos.