Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles preventivos
Los controles preventivos son controles de seguridad que se han diseñado para evitar que ocurra un evento. Estas barreras de protección son la primera línea de defensa para evitar el acceso no autorizado o los cambios no deseados en la red. Un ejemplo de control preventivo es un rol AWS Identity and Access Management (IAM) que tiene acceso de solo lectura porque ayuda a evitar acciones de escritura no deseadas por parte de usuarios no autorizados.
Revise la siguiente información acerca de este tipo de controles:
Objetivos
El objetivo principal de los controles preventivos es minimizar o evitar la probabilidad de que se produzca una amenaza. El control debe ayudar a evitar el acceso no autorizado al sistema e impedir que los cambios no intencionados afecten al sistema. Los objetivos de los controles preventivos son los siguientes:
-
División de funciones: los controles preventivos pueden establecer límites lógicos que restringen los privilegios, de manera de que con los permisos solo se realicen tareas específicas en cuentas o entornos designados. Entre los ejemplos se incluyen:
-
Segmentar las cargas de trabajo en diferentes cuentas para servicios específicos
-
Separar y contabilizar en entornos aislados de producción, desarrollo y pruebas
-
Delegar el acceso y las responsabilidades a varias entidades para que desempeñen funciones específicas, como utilizar roles de IAM o roles asumidos a fin de permitir que solo funciones laborales específicas realicen determinadas acciones
-
-
Control de acceso: los controles preventivos pueden conceder o denegar el acceso a los recursos y datos del entorno de forma sistemática. Entre los ejemplos se incluyen:
-
Impedir que los usuarios superen los permisos previstos, lo que se conoce como escalado de privilegios
-
Restringir el acceso a aplicaciones y datos solo a los usuarios y servicios autorizados
-
Mantener reducido el grupo de administradores
-
Evitar el uso de las credenciales de usuario raíz.
-
-
Cumplimiento: los controles preventivos pueden ayudar a su empresa a cumplir con sus políticas, directrices y estándares. Entre los ejemplos se incluyen:
-
Bloquear configuraciones que sirvan como base de seguridad mínima
-
Implementar medidas de seguridad adicionales, como la autenticación multifactor
-
Evitar tareas y acciones no estándar que realizan los roles no aprobados
-
Proceso
La asignación de control preventivo es el proceso de asignar controles a los requisitos y utilizar políticas para implementar esos controles mediante la restricción, la desactivación o el bloqueo. Al asignar los controles, tenga en cuenta el efecto proactivo que tienen en el entorno, los recursos y los usuarios. Las siguientes son prácticas recomendadas para la asignación de controles:
-
Los controles estrictos que prohíben una actividad se deben asignar a los entornos de producción en los que la acción requiera procesos de revisión, aprobación y cambio.
-
Los entornos de desarrollo o confinados pueden tener menos controles preventivos para ofrecer la agilidad que se necesita para crear y probar.
-
La clasificación de datos, el nivel de riesgo de un activo y la política de administración de riesgos determinan los controles preventivos.
-
Asigne los marcos existentes como prueba de la conformidad con los estándares y reglamentos.
-
Implemente controles preventivos por ubicación geográfica, entorno, cuentas, redes, usuarios, roles o recursos.
Casos de uso
Gestión de datos
Se crea un rol que puede acceder a todos los datos de una cuenta. Si hay datos confidenciales y cifrados, los privilegios excesivamente permisivos pueden suponer un riesgo, en función de los usuarios o grupos que puedan asumir el rol. Al usar una política de claves en AWS Key Management Service (AWS KMS), puedes controlar quién tiene acceso a la clave y descifrar los datos.
Escalado de privilegios
Si los permisos administrativos y de escritura se asignan de una forma demasiado amplia, el usuario puede eludir los límites de los permisos previstos y concederse privilegios adicionales. El usuario que crea y administra un rol puede asignar un límite de permisos, que define los privilegios máximos permitidos para el rol.
Bloqueo de carga de trabajo
Si su empresa no tiene una necesidad previsible de utilizar servicios específicos, active una política de control de servicios que limite los servicios que pueden funcionar en las cuentas de los miembros de una organización o restrinja los servicios en función de ellos. Región de AWS Este control preventivo puede reducir el alcance del impacto si un agente de amenazas logra comprometer una cuenta de su organización y acceder a ella. Para obtener más información, consulte la sección Políticas de control de servicios de esta guía.
Impacto en otras aplicaciones
Los controles preventivos pueden imponer el uso de servicios y características, como IAM, el cifrado y el registro, para cumplir con los requisitos de seguridad de las aplicaciones. También puede utilizar estos controles para protegerse contra las vulnerabilidades al limitar las acciones que un agente de amenazas puede aprovechar debido a errores involuntarios o a una mala configuración.
Tecnología
Políticas de control de servicios
En AWS Organizations, las políticas de control de servicios (SCP) definen los permisos máximos disponibles para las cuentas de los miembros de una organización. Estas políticas ayudan a las cuentas a cumplir con las directrices de control de acceso de la organización. Tenga en cuenta lo siguiente al diseñar las SCP para su organización:
-
Los SCP son controles preventivos porque definen y hacen cumplir los permisos máximos permitidos para las funciones y los usuarios de IAM en las cuentas de los miembros de la organización.
-
Los SCP afectan únicamente a los roles y usuarios de IAM en las cuentas de los miembros de la organización. No afectan a los usuarios ni a los roles de la cuenta de administración de la organización.
Puede hacer que una SCP sea más detallada al definir los permisos máximos para cada Región de AWS.
Límites de permisos de IAM
En AWS Identity and Access Management (IAM), se utiliza un límite de permisos para establecer el número máximo de permisos que una política basada en la identidad puede conceder a una entidad de IAM (usuarios o roles). Un límite de permisos para una entidad le posibilita realizar solo las acciones que le permitan tanto sus políticas basadas en identidades como sus límites de permisos. Tenga en cuenta lo siguiente al usar los límites de permisos:
-
Puede utilizar una política gestionada o una política AWS gestionada por el cliente para establecer el límite de una entidad de IAM.
-
Un límite de permisos no concede permisos por sí mismo. La política de límite de permisos limita los permisos que se conceden a la entidad de IAM.
Resultados empresariales
Ahorro de tiempo
-
Al agregar la automatización después de configurar los controles preventivos, puede reducir la necesidad de intervención manual y reducir la frecuencia de los errores.
-
El uso de los límites de permisos como control preventivo ayuda a los equipos de seguridad y de IAM a centrarse en tareas críticas, como la gobernanza y la asistencia.
Conformidad normativa
-
Es posible que las empresas deban cumplir con las normas internas o industriales. Pueden ser restricciones regionales, de usuarios y roles o de servicio. Las SCP pueden ayudarlo a cumplir con las normas y evitar sanciones por infracción.
Reducción de riesgos
-
Con el crecimiento, aumenta la cantidad de solicitudes para crear y administrar políticas y roles nuevos. Resulta cada vez más difícil comprender el contexto de lo que se requiere a fin de crear los permisos para cada aplicación de forma manual. El establecimiento de controles preventivos actúa como punto de partida y ayuda a evitar que los usuarios realicen acciones no deseadas, incluso si se les ha concedido el acceso de forma accidental.
-
La aplicación de controles preventivos a las políticas de acceso brinda una capa adicional para ayudar a proteger los datos y activos.
