View a markdown version of this page

Lanzamiento de estaciones de trabajo forenses - Guía de respuestas ante incidentes de seguridad de AWS
Tipos de instancias y ubicaciones

Lanzamiento de estaciones de trabajo forenses

Algunas de las actividades de respuesta ante incidentes pueden incluir el análisis de imágenes de disco, sistemas de archivos, volcados de RAM u otros artefactos implicados en un incidente. Muchos de los clientes crean una estación de trabajo forense personalizada que pueden usar para montar copias de cualquier volumen de datos afectado (conocidas como instantáneas de EBS). Para hacerlo, siga estos pasos básicos:

  1. Elija una imagen de máquina de Amazon (AMI) básica (como Linux o Microsoft Windows) que se pueda usar como estación de trabajo forense.

  2. Lance una instancia de Amazon EC2 desde esa AMI básica.

  3. Refuerce el sistema operativo, elimine los paquetes de software innecesarios y configure mecanismos de auditoría y registro relevantes.

  4. Instale su conjunto preferido de kits de herramientas privadas o de código abierto, así como el software y los paquetes que necesite de cualquier proveedor.

  5. Detenga la instancia de Amazon EC2 y cree una AMI desde la instancia detenida.

  6. Cree un proceso semanal o mensual para actualizar y recompilar la AMI con las últimas revisiones de software.

Una vez que el sistema forense se haya aprovisionado con una AMI, el equipo de respuesta ante incidentes puede usar esta plantilla para crear una AMI nueva y lanzar una nueva estación de trabajo forense para cada investigación. El proceso de lanzamiento de la AMI como instancia de Amazon EC2 puede preconfigurarse para simplificar el proceso de implementación. Por ejemplo, puede crear una plantilla de los recursos de infraestructura forense que necesita en un archivo de texto e implementarla en la cuenta de AWS mediante AWS CloudFormation.

Cuando los recursos están disponibles para implementarlos de forma rápida a partir de una plantilla, los expertos forenses con la formación adecuada pueden usar nuevas estaciones de trabajo forenses para cada investigación, en lugar de reutilizar la infraestructura. Este proceso le permite asegurarse de que no haya contaminación cruzada con otros exámenes forenses.

Tipos de instancias y ubicaciones

Amazon EC2 ofrece una amplia variedad de tipos de instancias optimizadas para diferentes casos de uso. Los tipos de instancia abarcan varias combinaciones de capacidad de CPU, memoria, almacenamiento y redes; además, ofrecen la flexibilidad necesaria para elegir la combinación de recursos adecuada para sus aplicaciones. Muchos tipos de instancias incluyen varios tamaños, lo que le permite escalar los recursos según los requisitos de la carga de trabajo objetivo. Para las instancias de respuesta ante incidentes, siga las políticas de GRC de la empresa para la ubicación y la segmentación desde la red que ejecuta las instancias de producción.

Las redes mejoradas de AWS utilizan la virtualización de E/S de raíz única (SR-IOV) para ofrecer capacidades de redes de alto rendimiento en los tipos de instancias admitidos. SR-IOV es un método de virtualización de dispositivos que ofrece un mayor rendimiento de E/S y una menor utilización de CPU en comparación con las interfaces de red virtualizadas tradicionales. Las redes mejoradas proporcionan un mayor ancho de banda, un rendimiento superior de paquetes por segundo (PPS) y menores latencias entre instancias de manera constante. El uso de las redes mejoradas no supone ningún cargo adicional. Para obtener información sobre qué tipos de instancias admiten velocidades de red de 10 o 25 Gbps y otras funciones avanzadas, consulte Tipos de instancias de Amazon EC2.