Aspectos básicos de seguridad - AWS Guía prescriptiva
Capacidades de seguridadPrincipios de diseño de seguridadCómo utilizar el framework AWS SRA with AWS CAF and AWS Well-Architected

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Aspectos básicos de seguridad

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta.

La arquitectura AWS de referencia de seguridad se alinea con tres fundamentos de AWS seguridad: el AWS Cloud Adoption Framework (AWSCAF), el AWS Well-Architected Framework y AWS el modelo de responsabilidad compartida.

AWSServicios profesionales creados AWSCAFpara ayudar a las empresas a diseñar y seguir un camino acelerado hacia una adopción exitosa de la nube. La orientación y las mejores prácticas que ofrece el marco le ayudan a desarrollar un enfoque integral de la computación en nube en toda su empresa y durante todo su ciclo de vida de TI. AWSCAFOrganiza la orientación en seis áreas de enfoque, denominadas perspectivas. Cada perspectiva cubre distintas responsabilidades que son propiedad o gestionadas por las partes interesadas relacionadas con la funcionalidad. En general, las perspectivas empresarial, de personal y de gobierno se centran en las capacidades empresariales, mientras que las perspectivas de plataforma, seguridad y operaciones se centran en las capacidades técnicas.

  • La perspectiva de seguridad le AWS CAF ayuda a estructurar la selección e implementación de los controles en toda su empresa. Seguir las AWS recomendaciones actuales del pilar de seguridad puede ayudarle a cumplir sus requisitos empresariales y normativos. 

AWSWell-Architected Framework ayuda a los arquitectos de la nube a crear una infraestructura segura, de alto rendimiento, resiliente y eficiente para sus aplicaciones y cargas de trabajo. El marco se basa en seis pilares (excelencia operativa, seguridad, confiabilidad, eficiencia del rendimiento, optimización de costos y sostenibilidad) y proporciona un enfoque coherente para que los AWS clientes y socios evalúen las arquitecturas e implementen diseños que puedan ampliarse con el tiempo. Creemos que contar con cargas de trabajo de Well-Architected aumenta en gran medida la probabilidad de éxito empresarial.

  • El pilar de seguridad de Well-Architected Framework describe cómo aprovechar las tecnologías en la nube para ayudar a proteger los datos, los sistemas y los activos de una manera que pueda mejorar su postura de seguridad. Esto le ayudará a cumplir sus requisitos empresariales y normativos siguiendo las recomendaciones actualesAWS. Hay áreas de enfoque adicionales de Well-Architected Framework que proporcionan más contexto para dominios específicos, como la gobernanza, la tecnología sin servidores, la inteligencia artificial y el aprendizaje automático y los juegos. Se conocen como lentes AWSWell-Architected

La seguridad y el cumplimiento son una responsabilidad compartida entre el cliente AWS y el cliente. Este modelo compartido puede ayudarlo a aliviar la carga operativa, ya que AWS opera, administra y controla los componentes desde el sistema operativo anfitrión y la capa de virtualización hasta la seguridad física de las instalaciones en las que opera el servicio. Por ejemplo, usted asume la responsabilidad y la administración del sistema operativo huésped (incluidas las actualizaciones y los parches de seguridad), el software de la aplicación, el cifrado de datos del lado del servidor, las tablas de rutas del tráfico de la red y la configuración del firewall del grupo de seguridad AWS proporcionado. En el caso de los servicios abstractos, como Amazon Simple Storage Service (Amazon S3) y Amazon DynamoDBAWS, opera la capa de infraestructura, el sistema operativo y las plataformas, y usted accede a los puntos de conexión para almacenar y recuperar datos. Usted es responsable de administrar sus datos (incluidas las opciones de cifrado), clasificar sus activos y utilizar las herramientas de AWS Identity and Access Management (IAM) para aplicar los permisos correspondientes. Este modelo compartido suele describirse diciendo que AWS es responsable de la seguridad de la nube (es decir, de proteger la infraestructura que ejecuta todos los servicios que se ofrecen en la AWS nube) y que usted es responsable de la seguridad en la nube (según lo determinen los servicios de AWS nube que seleccione). 

Dentro de las directrices que proporcionan estos documentos fundamentales, hay dos conjuntos de conceptos que son particularmente relevantes para el diseño y la comprensión de los mismos AWSSRA: las capacidades de seguridad y los principios de diseño de la seguridad.

Capacidades de seguridad

La perspectiva de seguridad AWS CAF describe nueve capacidades que le ayudan a lograr la confidencialidad, integridad y disponibilidad de sus datos y cargas de trabajo en la nube.

  • La gobernanza de la seguridad permite desarrollar y comunicar las funciones, responsabilidades, políticas, procesos y procedimientos de seguridad en todo el AWS entorno de su organización.

  • Garantía de seguridad para supervisar, evaluar, gestionar y mejorar la eficacia de sus programas de seguridad y privacidad.

  • Gestión de identidades y accesos para gestionar las identidades y los permisos a escala.

  • Detección de amenazas para comprender e identificar posibles errores de configuración de seguridad, amenazas o comportamientos inesperados.

  • Gestión de vulnerabilidades para identificar, clasificar, corregir y mitigar de forma continua las vulnerabilidades de seguridad.

  • Protección de la infraestructura para ayudar a validar que los sistemas y servicios de sus cargas de trabajo estén protegidos.

  • Protección de datos para mantener la visibilidad y el control de los datos y de cómo se accede a ellos y se utilizan en su organización.

  • Seguridad de las aplicaciones para ayudar a detectar y abordar las vulnerabilidades de seguridad durante el proceso de desarrollo del software.

  • Respuesta a incidentes para reducir los posibles daños mediante una respuesta eficaz a los incidentes de seguridad.

Principios de diseño de seguridad

El pilar de seguridad del Well-Architected Framework recoge un conjunto de siete principios de diseño que convierten áreas de seguridad específicas en una guía práctica que puede ayudarlo a fortalecer la seguridad de sus cargas de trabajo. Mientras que las capacidades de seguridad enmarcan la estrategia de seguridad general, estos principios del Marco de Well-Architected describen lo que puede empezar a hacer. Se reflejan de forma muy deliberada en ello AWS SRA y consisten en lo siguiente:

  • Implemente una base de identidad sólida: implemente el principio del privilegio mínimo y establezca la separación de funciones con la autorización adecuada para cada interacción con sus AWS recursos. Centralice la administración de identidades y busque eliminar la dependencia de las credenciales a largo plazo.

  • Habilite la trazabilidad: supervise, genere alertas y audite las acciones y los cambios en su entorno en tiempo real. Integre la recopilación de registros y métricas con sistemas para investigar y tomar medidas automáticamente.

  • Aplique la seguridad en todos los niveles: aplique un defense-in-depth enfoque con varios controles de seguridad. Aplique varios tipos de controles (por ejemplo, controles preventivos y de detección) a todos los niveles, incluidos el borde de la red, la nube privada virtual (VPC), el equilibrio de carga, los servicios de instancia y procesamiento, el sistema operativo, la configuración de las aplicaciones y el código.

  • Automatice las mejores prácticas de seguridad: los mecanismos de seguridad automatizados y basados en software mejoran su capacidad de escalar de forma segura de forma más rápida y rentable. Cree arquitecturas seguras e implemente controles que se definan y administren como código en plantillas con control de versiones.

  • Proteja los datos en tránsito y en reposo: clasifique los datos según sus niveles de confidencialidad y utilice mecanismos como el cifrado, la tokenización y el control de acceso, cuando proceda.

  • Mantenga a las personas alejadas de los datos: utilice mecanismos y herramientas para reducir o eliminar la necesidad de acceder directamente a los datos o procesarlos manualmente. De esta forma, se reducen los errores humanos y el riesgo de una mala gestión o modificación al gestionar información confidencial.

  • Prepárese para los eventos de seguridad: prepárese para un incidente con políticas y procesos de gestión e investigación de incidentes que se ajusten a los requisitos de su organización. Ejecute simulaciones de respuesta frente a incidencias y use herramientas con automatización para aumentar la velocidad de detección, investigación y recuperación.

Cómo utilizar el framework AWS SRA with AWS CAF and AWS Well-Architected

AWSCAF, AWS Well-Architected Framework AWS SRA y son marcos complementarios que funcionan juntos para respaldar sus esfuerzos de migración y modernización a la nube.

  • AWSCAFaprovecha la AWS experiencia y las mejores prácticas para ayudarlo a alinear los valores de la adopción de la nube con los resultados empresariales deseados. Úselo AWS CAF para identificar y priorizar las oportunidades de transformación, evaluar y mejorar la preparación para la nube y desarrollar su hoja de ruta de transformación de forma iterativa.

  • El AWSWell-Architected Framework AWS proporciona recomendaciones para crear una infraestructura segura, de alto rendimiento, resiliente y eficiente para una variedad de aplicaciones y cargas de trabajo que cumplan con los resultados de su negocio.

  • AWSSRAEsto le ayuda a comprender cómo implementar y gobernar los servicios de seguridad de una manera que se alinee con las recomendaciones del AWS CAF AWS Well-Architected Framework.

Por ejemplo, desde el punto AWS CAF de vista de la seguridad, se recomienda evaluar cómo gestionar de forma centralizada las identidades de sus empleados y su autenticación. AWS En función de esta información, puede decidir utilizar una solución de proveedor de identidad corporativa (IdP) nueva o existente, como Okta, Active Directory o Ping Identity para este fin. Sigue las instrucciones del AWS Well-Architected Framework y decide integrar su IdP con AWS IAM el Identity Center para ofrecer a sus empleados una experiencia de inicio de sesión único que pueda sincronizar las membresías y permisos de sus grupos. Revisa la AWS SRA recomendación de habilitar IAM Identity Center en la cuenta de administración de su AWS organización y administrarlo a través de una cuenta de herramientas de seguridad que utilice su equipo de operaciones de seguridad. Este ejemplo ilustra cómo le AWS CAF ayuda a tomar decisiones iniciales sobre la postura de seguridad deseada. AWS El Marco de Buena Arquitectura proporciona orientación sobre cómo evaluar AWS los servicios que están disponibles para cumplir ese objetivo y, a continuación, proporciona recomendaciones sobre cómo implementar y AWS SRA controlar los servicios de seguridad que seleccione.