Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Validar la integridad de los archivos de registros de CloudTrail
Para determinar si un archivo de registros se ha modificado, eliminado o continúa igual después del envío de CloudTrail, puede utilizar la validación de la integridad de los archivos de registros de CloudTrail. Esta característica se compila mediante los algoritmos estándar de la industria: SHA-256 para el hash y SHA-256 con RSA para la firma digital. De ese modo, resulta imposible desde el punto de vista informático modificar, eliminar o falsificar archivos de registros de CloudTrail sin que se sepa. Puede utilizar la AWS CLI para validar los archivos en la ubicación donde los envió CloudTrail.
¿Por qué utilizarla?
Los archivos de registro validados son muy valiosos para las investigaciones de seguridad y forenses. Por ejemplo, un archivo de registro validado le permite afirmar positivamente que el archivo de registro en sí no ha cambiado, o que determinadas credenciales de usuario han realizado una actividad de la API específica. El proceso de validación de la integridad de los archivos de registros de CloudTrail también le permiten saber si un archivo de registros se ha eliminado o cambiado, o confirmar que no se han enviado archivos de registros a su cuenta durante un periodo de tiempo determinado.
Funcionamiento
Al habilitar la validación de la integridad de los archivos de registros, CloudTrail crea un valor hash para cada archivo de registros que envía. Cada hora, CloudTrail también crea y envía un archivo que hace referencia a los archivos de registros de la última hora y contiene un hash de cada uno de ellos. Este archivo se denomina archivo de resumen. CloudTrail firma cada archivo de resumen con la clave privada de un par de claves pública y privada. Después del envío, puede utilizar la clave pública para validar el archivo de resumen. CloudTrail utiliza pares de claves diferentes para cada Región de AWS.
Los archivos de resumen se envían al mismo bucket de Amazon S3 asociado a su registro de seguimiento como sus archivos de registros de CloudTrail. Si los archivos de registros se envían desde todas las regiones o desde varias cuentas a un solo bucket de Amazon S3, CloudTrail enviará los archivos de resumen desde esas regiones y cuentas al mismo bucket.
Los archivos de resumen se colocan en una carpeta independiente de los archivos de registro. Esta separación de archivos de resumen y archivos de registro le permite aplicar las políticas de seguridad detalladas y permite a las soluciones de procesamiento de registros existentes seguir funcionando sin modificaciones. Cada archivo de resumen también contiene la firma digital del archivo de resumen anterior, si existe. La firma del archivo de resumen actual se almacena en las propiedades de los metadatos del objeto de Amazon S3 del archivo de resumen. Para obtener más información sobre el contenido de los archivos de resumen, consulte Estructura de los archivos de resumen de CloudTrail.
Almacenamiento de los archivos de registro y de resumen
Puede almacenar los archivos de registros y de resumen de CloudTrail en Amazon S3 o S3 Glacier de forma segura, duradera y económica durante un periodo de tiempo indefinido. Para mejorar la seguridad de los archivos de resumen almacenados en Amazon S3, puede utilizar Eliminar Amazon S3 MFA.
Activación de la validación y los archivos de validación
Para habilitar la validación de la integridad de los archivos de registros, puede utilizar la AWS Management Console, la AWS CLI o la API de CloudTrail. Activar la validación de la integridad de los archivos de registro permite a CloudTrail entregar archivos de registro de resumen a su bucket de Amazon S3, pero no valida la integridad de los archivos. Para obtener más información, consulte Habilitación de la validación de la integridad de los archivos de registros de CloudTrail.
Para validar la integridad de los archivos de registros de CloudTrail, puede utilizar la AWS CLI o crear su propia solución. La AWS CLI validará archivos en la ubicación donde los ha enviado CloudTrail. Si desea validar los registros que ha movido a otra ubicación, ya sea en Amazon S3 o en algún otro lugar, puede crear sus propias herramientas de validación.
Para obtener información acerca de la validación de los registros con AWS CLI, consulte Validación de la integridad de los archivos de registros de CloudTrail con la AWS CLI. Para obtener más información sobre el desarrollo de las implementaciones personalizadas para la validación de los archivos de registros de CloudTrail, consulte Implementaciones personalizadas para validar la integridad de los archivos de registros de CloudTrail.
