Seguridad perimetral - AWS Guía prescriptiva
Implementación de servicios perimetrales en una sola cuenta de RedImplementación de servicios perimetrales en cuentas de aplicaciones individualesServicios de AWS adicionales para configuraciones de seguridad perimetral

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad perimetral

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta.

En esta sección se amplía la guía de AWS SRA y se proporcionan recomendaciones para crear un perímetro seguro en AWS. Se profundiza en los servicios perimetrales de AWS y en cómo encajan en las unidades organizativas definidas por AWS SRA.

En el contexto de esta guía, un perímetro se define como el límite en el que las aplicaciones se conectan a Internet. La seguridad del perímetro incluye la entrega segura de contenido, la protección de la capa de aplicaciones y la mitigación de la denegación de servicio distribuido (DDoS). Los servicios perimetrales de AWS incluyen Amazon CloudFront, AWS WAF, AWS Shield, Amazon Route 53 y AWS Global Accelerator. Estos servicios están diseñados para proporcionar acceso seguro, de baja latencia y alto rendimiento a los recursos y la entrega de contenido de AWS. Puede usar estos servicios perimetrales con otros servicios de seguridad, como Amazon GuardDuty y AWS Firewall Manager, para ayudar a crear un perímetro seguro para sus aplicaciones.

Hay disponibles varios patrones de arquitectura para la seguridad perimetral para satisfacer las diferentes necesidades de la organización. Esta sección se centra en dos patrones comunes: la implementación de los servicios perimetrales en una cuenta central (red) y la implementación de algunos de los servicios perimetrales en cuentas de carga de trabajo individuales (aplicación). En esta sección se describen las ventajas de ambas arquitecturas y sus principales consideraciones.

Implementación de servicios perimetrales en una sola cuenta de Red

El siguiente diagrama se basa en la línea base de AWS SRA para ilustrar la arquitectura en la que se implementan los servicios perimetrales en la cuenta de Red.

Implementación de servicios perimetrales en la cuenta de Red

La implementación de los servicios perimetrales en una sola cuenta de Red tiene varias ventajas:

  • Este patrón admite casos de uso, como los de sectores altamente regulados, en los que se desea restringir la administración de los servicios perimetrales en toda la organización a un único equipo especializado.

  • Simplifica la configuración necesaria para limitar la creación, modificación y eliminación de componentes de red.

  • Simplifica la detección, ya que la inspección se realiza en un solo lugar, lo que conduce a menos puntos de agregación de registros.

  • Puede crear recursos personalizados de mejores prácticas, como CloudFront políticas y funciones periféricas, y compartirlos en todas las distribuciones de la misma cuenta.

  • Simplifica la gestión de recursos fundamentales para la empresa que son sensibles a los errores de configuración, como la configuración de caché de red de entrega de contenido (CDN) o los registros de DNS, al reducir las ubicaciones donde se implementa ese cambio.

En las siguientes secciones se profundiza en cada servicio y se describen las consideraciones arquitectónicas.

Amazon CloudFront

Amazon CloudFront es un servicio de red de entrega de contenido (CDN) creado para ofrecer un alto rendimiento, seguridad y comodidad para los desarrolladores. En el caso de los puntos de enlace HTTP públicos y con acceso a Internet, te recomendamos que los utilices CloudFront para distribuir tu contenido orientado a Internet. CloudFront es un proxy inverso que sirve como punto de entrada único para su aplicación a nivel mundial. También se puede combinar con AWS WAF y funciones periféricas, como Lambda @Edge, y funciones que ayudan a crear soluciones seguras y CloudFront personalizables para la entrega de contenido.

En esta arquitectura de implementación, todas las CloudFront configuraciones, incluidas las funciones periféricas, se implementan en la cuenta de red y son administradas por un equipo de redes centralizado. Solo los empleados autorizados del equipo de redes deben tener acceso a esta cuenta. Los equipos de aplicaciones que deseen realizar cambios en su CloudFront configuración o lista de control de acceso web (ACL web) para AWS WAF deben solicitar dichos cambios al equipo de redes. Le recomendamos que establezca un flujo de trabajo, como un sistema de tickets, para que los equipos de aplicaciones soliciten cambios de configuración.

En este patrón, tanto los orígenes dinámicos como los estáticos se encuentran en las cuentas individuales de la aplicación, por lo que el acceso a estos orígenes requiere permisos y funciones multicuentas. Los registros de CloudFront las distribuciones están configurados para enviarse a la cuenta de Log Archive.

AWS WAF

AWS WAF es un firewall de aplicación web que le permite monitorizar las solicitudes HTTP y HTTPS que se reenvíen a los recursos de su aplicación web protegida. Este servicio puede ayudarle a proteger sus recursos contra las vulnerabilidades web y las amenazas volumétricas más comunes, así como contra amenazas más sofisticadas, como el fraude en la creación de cuentas, el acceso no autorizado a cuentas de usuarios y los bots que intentan evadir la detección. AWS WAF puede ayudar a proteger los siguientes tipos de recursos: CloudFront distribuciones, API REST de Amazon API Gateway, balanceadores de carga de aplicaciones, API AppSync GraphQL de AWS, grupos de usuarios de Amazon Cognito, servicios de AWS App Runner e instancias de AWS Verified Access.

En esta arquitectura de implementación, AWS WAF se adjunta a las CloudFront distribuciones configuradas en la cuenta de red. Al configurar AWS WAF con CloudFront, la huella perimetral se extiende a las ubicaciones de CloudFront borde en lugar de a la VPC de la aplicación. Esto hace que el filtrado del tráfico malicioso se acerque a la fuente de ese tráfico y ayuda a restringir el tráfico malicioso para que no ingrese a su red central.

Aunque las ACL web se implementan en la cuenta de Red, le recomendamos que utilice AWS Firewall Manager para gestionar de forma centralizada las ACL web y asegurarse de que todos los recursos cumplen con los requisitos. Configure la cuenta de herramientas de seguridad como la cuenta de administrador de Firewall Manager. Implemente políticas de Firewall Manager con corrección automática para garantizar que todas las CloudFront distribuciones (o algunas de ellas) de su cuenta tengan una ACL web adjunta.

Puede enviar registros completos de AWS WAF a un bucket de S3 de la cuenta de archivo de registro configurando el acceso entre cuentas al bucket de S3. Para obtener más información, consulte el artículo de AWS Re:post sobre este tema.

Comprobaciones de estado de AWS Shield y AWS Route 53

AWS Shield Estándar y AWS Shield Avanzado proporcionan protección contra los ataques de denegación de servicio distribuido (DDoS) a los recursos de AWS en las capas de red y transporte (capas 3 y 4) y en la capa de aplicaciones (capa 7). Shield Estándar se incluye automáticamente sin costo adicional alguno, aparte de lo que ya haya pagado por AWS WAF y los demás servicios de AWS. Shield Advanced ofrece una protección ampliada contra eventos DDoS para sus instancias de Amazon EC2, los balanceadores de carga de Elastic Load Balancing CloudFront , las distribuciones y las zonas alojadas de Route 53. Si posee sitios web de alta visibilidad o si sus aplicaciones son propensas a sufrir frecuentes eventos de DDoS, considere las características adicionales que ofrece Shield Avanzado.

Esta sección se centra en las configuraciones de Shield Avanzado, ya que Shield Estándar no es configurable por el usuario.

Para configurar Shield Advanced para proteger sus CloudFront distribuciones, suscriba la cuenta de red a Shield Advanced. En la cuenta, añada la compatibilidad con Shield Response Team (SRT) y proporcione los permisos necesarios para que el equipo SRT acceda a sus ACL web durante un evento DDoS. Puede contactarse con la SRT en cualquier momento para crear y gestionar mitigaciones personalizadas para su aplicación durante un evento de DDoS activo. La configuración anticipada del acceso proporciona al SRT la flexibilidad de depurar y revisar las ACL web sin tener que gestionar los permisos durante un evento.

Utilice Firewall Manager con corrección automática para añadir sus CloudFront distribuciones como recursos protegidos. Si tiene otros recursos con acceso a Internet, como los Equilibradores de carga de aplicaciones, podría considerar la posibilidad de agregarlos como recursos protegidos de Shield Avanzado. Sin embargo, si tiene varios recursos protegidos de Shield Advanced en el flujo de datos (por ejemplo, su Application Load Balancer es el origen CloudFront), le recomendamos que utilice solo el punto de entrada como recurso protegido para reducir las tarifas de transferencia de datos duplicados (DTO) de Shield Advanced.

Habilite la característica de participación proactiva para que el SRT pueda monitorear de manera proactiva sus recursos protegidos y ponerse en contacto con usted cuando sea necesario. Para configurar la función de participación proactiva de forma eficaz, cree comprobaciones de estado de Route 53 para su aplicación y asócielas a las CloudFront distribuciones. Shield Avanzado utiliza las comprobaciones de estado como un punto de datos adicional cuando evalúa un evento. Las comprobaciones de estado deben definirse adecuadamente para reducir los falsos positivos con la detección. Para obtener más información sobre cómo identificar las métricas correctas para las comprobaciones de estado, consulte Best practices for using health checks with Shield Advanced en la documentación de AWS. Si detecta un intento de DDoS, puede ponerse en contacto con el SRT y elegir la gravedad más alta disponible para su plan de soporte.

AWS Certificate Manager y AWS Route 53

AWS Certificate Manager (ACM) le ayuda a aprovisionar, administrar y renovar certificados SSL/TLS X.509 públicos y privados. Cuando utiliza ACM para administrar certificados, las claves privadas de los certificados se protegen y almacenan de forma segura mediante un cifrado sólido y las mejores prácticas de administración de claves.

El ACM se implementa en la cuenta de red para generar un certificado TLS público para las distribuciones. CloudFront Los certificados TLS son necesarios para establecer una conexión HTTPS entre los espectadores y. CloudFront Para obtener más información, consulte la CloudFront documentación. ACM proporciona una validación de DNS o correo electrónico para validar la propiedad del dominio. Le recomendamos que utilice la validación de DNS en lugar de la validación por correo electrónico, ya que, al utilizar Route 53 para administrar los registros de DNS públicos, puede actualizar los registros directamente a través de ACM. ACM renueva automáticamente los certificados validados por DNS, siempre y cuando el certificado esté en uso y el registro de DNS siga existiendo.

CloudFront registros de acceso y registros de AWS WAF

De forma predeterminada, los registros de CloudFront acceso se almacenan en la cuenta de red y los registros de AWS WAF se agregan en la cuenta de Security Tooling mediante la opción de registro de Firewall Manager. Le recomendamos que replique estos registros en la cuenta Registro de Archivos para que los equipos de seguridad centralizados puedan acceder a ellos con fines de supervisión.

Consideraciones sobre el diseño

  • En esta arquitectura, la gran cantidad de dependencias de un solo equipo de red puede afectar a su capacidad de realizar cambios rápidamente.

  • Supervise las cuotas de servicio de cada cuenta. Las cuotas de servicio (que también se denominan límites) establecen el número máximo de recursos u operaciones de servicio para su cuenta de AWS. Para obtener más información, consulte AWS service quotas en la documentación de AWS.

  • Proporcionar métricas específicas a los equipos de carga de trabajo puede introducir complejidades.

  • Los equipos de aplicaciones tienen acceso restringido a las configuraciones, lo que puede suponer una sobrecarga de espera para que los equipos de redes implementen cambios en su nombre.

  • Los equipos que comparten recursos en una sola cuenta pueden competir por los mismos recursos y presupuestos, lo que puede dar lugar a desafíos en la asignación de recursos. Le recomendamos que implemente mecanismos para cobrar a los equipos de aplicaciones que usan los servicios perimetrales implementados en la cuenta de Red.

Implementación de servicios perimetrales en cuentas de aplicaciones individuales

El diagrama siguiente ilustra el patrón de arquitectura en el que los servicios perimetrales se implementan y administran de forma independiente en cuentas de aplicaciones individuales.

Implementación de servicios perimetrales en cuentas de aplicación individuales

Hay varias ventajas de implementar los servicios perimetrales en las cuentas de aplicación:

  • Este diseño proporciona autonomía para que las cuentas de carga de trabajo individuales personalicen las configuraciones de servicio en función de sus necesidades. Este enfoque elimina la dependencia de un equipo especializado para implementar cambios en los recursos de una cuenta compartida y permite a los desarrolladores de cada equipo administrar las configuraciones de forma independiente.

  • Cada cuenta tiene sus propias cuotas de servicio, por lo que los propietarios de las aplicaciones no tienen que trabajar dentro de las cuotas de una cuenta compartida.

  • Este diseño ayuda a contener el impacto de la actividad maliciosa limitándola a una cuenta concreta y evitando que el ataque se propague a otras cargas de trabajo.

  • Elimina los riesgos de cambio, ya que el alcance del impacto se limita solo a la carga de trabajo en cuestión. También puede utilizar IAM para limitar el número de equipos que pueden implementar cambios, de forma que haya una separación lógica entre los equipos de carga de trabajo y el equipo de redes central.

  • Al descentralizar la implementación de la entrada y salida de la red, pero con controles lógicos comunes (mediante el uso de servicios como AWS Firewall Manager), puede ajustar los controles de red a cargas de trabajo específicas mientras continúa cumpliendo con un estándar mínimo de objetivos de control.

En las siguientes secciones se profundiza en cada servicio y se describen las consideraciones arquitectónicas.

Amazon CloudFront

En esta arquitectura de despliegue, CloudFront las configuraciones de Amazon, incluidas las funciones periféricas, se administran e implementan en las cuentas de aplicaciones individuales. Esto verifica que cada propietario de la aplicación y cada cuenta de carga de trabajo tengan autonomía para configurar los servicios perimetrales en función de las necesidades de su aplicación.

Los orígenes dinámicos y estáticos se encuentran en la misma cuenta de la aplicación y CloudFront las distribuciones tienen acceso a estos orígenes a nivel de cuenta. Los registros de CloudFront las distribuciones se almacenan localmente en cada cuenta de aplicación. Los registros se pueden replicar en la cuenta de registro de archivos para satisfacer las necesidades normativas y de conformidad.

AWS WAF

En esta arquitectura de implementación, AWS WAF se adjunta a las CloudFront distribuciones configuradas en la cuenta de la aplicación. Al igual que con el patrón anterior, le recomendamos que utilice AWS Firewall Manager para gestionar de forma centralizada las ACL web y asegurarse de que todos los recursos cumplen con los requisitos. Las reglas comunes de AWS WAF, como el conjunto de reglas principales administradas por AWS y la lista de reputación de IP de Amazon, deben añadirse de forma predeterminada. Estas reglas se aplican automáticamente a todos los recursos aptos de la cuenta de la aplicación.

Además de las reglas aplicadas por Firewall Manager, cada propietario de la aplicación puede añadir reglas de AWS WAF que sean relevantes para la seguridad de su aplicación a la ACL web. Esto permite flexibilidad en cada cuenta de aplicación y, al mismo tiempo, conserva el control general en la cuenta de herramientas de seguridad.

Utilice la opción de registro de Firewall Manager para centralizar los registros y enviarlos a un bucket de S3 en la cuenta de herramientas de seguridad. Cada equipo de aplicaciones tiene acceso para revisar los paneles de AWS WAF de su aplicación. Puedes configurar el panel de control mediante un servicio como Amazon QuickSight. Si se identifica algún falso positivo o se necesitan otras actualizaciones de las reglas de AWS WAF, puede agregar reglas de AWS WAF a nivel de aplicación a la ACL web implementada por Firewall Manager. Los registros se replican en la cuenta de registro de archivos y se archivan para investigaciones de seguridad.

AWS Global Accelerator

AWS Global Accelerator le permite crear aceleradores para mejorar el rendimiento de sus aplicaciones para los usuarios locales y globales. Global Accelerator le proporciona direcciones IP estáticas que sirven como puntos de entrada fijos a sus aplicaciones alojadas en una o más regiones de AWS. Puede asociar estas direcciones a recursos o puntos de conexión regionales de AWS, como equilibradores de carga de aplicación, equilibradores de carga de red, instancias de EC2 y direcciones IP elásticas. Esto permite que el tráfico ingrese en la red global de AWS lo más cerca posible de sus usuarios.

Global Accelerator actualmente no admite orígenes entre cuentas. Por lo tanto, se implementa en la misma cuenta que el punto de conexión de origen. Implemente los aceleradores en cada cuenta de aplicación y agréguelos como recursos protegidos para AWS Shield Avanzado en la misma cuenta. Las mitigaciones de Shield Avanzado permitirán que solo el tráfico válido llegue a los puntos de enlace de escucha de Global Accelerator.

Comprobaciones de estado de AWS Shield Avanzado y AWS Route 53

Para configurar AWS Shield Advanced para proteger sus CloudFront distribuciones, debe suscribir cada cuenta de aplicación a Shield Advanced. Debe configurar características como el acceso al equipo de respuesta de Shield (SRT) y la participación proactiva a nivel de cuenta, ya que deben configurarse en la misma cuenta que el recurso. Use Firewall Manager con corrección automática para agregar sus CloudFront distribuciones como recursos protegidos y aplique la política a cada cuenta. Las comprobaciones de estado de Route 53 para cada CloudFront distribución deben implementarse en la misma cuenta y asociarse al recurso.

Zonas de Amazon Route 53 y ACM

Cuando utiliza servicios como Amazon CloudFront, las cuentas de la aplicación requieren acceso a la cuenta que aloja el dominio raíz para crear subdominios personalizados y aplicar certificados emitidos por Amazon Certificate Manager (ACM) o un certificado de terceros. Puede delegar un dominio público de la cuenta central de Shared Services a cuentas de aplicaciones individuales mediante la delegación de zona de Amazon Route 53. La delegación de zonas ofrece a cada cuenta la capacidad de crear y administrar subdominios específicos de la aplicación, como subdominios de API o estáticos. El ACM en cada cuenta permite a cada cuenta de aplicación gestionar los procesos de verificación y verificación de certificados (validación de organización, validación extendida o validación del dominio) de acuerdo con sus necesidades.

CloudFront registros de acceso, registros de flujo de Global Accelerator y registros de AWS WAF

En este patrón, configuramos los registros de CloudFront acceso y los registros de flujo de Global Accelerator en depósitos de S3 en cuentas de aplicaciones individuales. Los desarrolladores que deseen analizar los registros para ajustar el rendimiento o reducir los falsos positivos tendrán acceso directo a estos registros sin tener que solicitar acceso a un registro de archivos central. Los registros almacenados localmente también pueden cumplir con los requisitos de conformidad regionales, como la residencia de datos o la ocultación de la información de identificación personal.

Los registros completos de AWS WAF se almacenan en los buckets de S3 de la cuenta de archivos de registro mediante el registro de Firewall Manager. Los equipos de aplicaciones pueden ver los registros mediante paneles que se configuran mediante un servicio como Amazon QuickSight. Además, cada equipo de aplicaciones tiene acceso a los registros de AWS WAF muestreados desde su propia cuenta para una depuración rápida.

Le recomendamos que replique los registros en un lago de datos centralizado que se encuentre en la cuenta de registro de archivos. Al agregar los registros en un lago de datos centralizado, obtendrá una visión completa de todo el tráfico a sus recursos y distribuciones de AWS WAF. Esto ayuda a los equipos de seguridad a analizar y responder de forma centralizada a los patrones de amenazas de seguridad globales.

Consideraciones sobre el diseño

  • Este patrón traslada la responsabilidad de la administración de la red y la seguridad a los propietarios y desarrolladores de cuentas, lo que podría agregar sobrecarga al proceso de desarrollo.

  • Puede haber inconsistencias en la toma de decisiones. Debe establecer comunicaciones, plantillas y capacitación eficaces para asegurarse de que los servicios estén configurados correctamente y sigan las recomendaciones de seguridad.

  • Existe una dependencia de la automatización y expectativas claras sobre los controles de seguridad básicos combinados con los controles específicos de aplicación.

  • Utilice servicios como Firewall Manager y AWS Config para asegurarse de que la arquitectura implementada cumple con las prácticas recomendadas de seguridad. Además, configure la CloudTrail supervisión de AWS para detectar cualquier error de configuración.

  • La agregación de registros y métricas en un lugar central para el análisis puede generar complejidades.

Servicios de AWS adicionales para configuraciones de seguridad perimetral

Orígenes dinámicos: Equilibradores de carga de aplicaciones

Puedes configurar Amazon CloudFront para que utilice los orígenes de Application Load Balancer para la entrega dinámica de contenido. Esta configuración le permite enrutar las solicitudes a diferentes orígenes del Equilibrador de carga de aplicación en función de varios factores, como la ruta de la solicitud, el nombre de host o los parámetros de la cadena de consulta.

Los orígenes del Equilibrador de carga de aplicación se implementan en la cuenta de la aplicación. Si sus CloudFront distribuciones están en la cuenta de red, debe configurar permisos entre cuentas para que la CloudFront distribución acceda al origen de Application Load Balancer. Los registros del Equilibrador de carga de aplicación se envían a la cuenta de registro de archivos.

Para evitar que los usuarios accedan directamente a un Application Load Balancer sin pasar por él CloudFront, complete estos pasos de alto nivel:

  • Configure CloudFront para agregar un encabezado HTTP personalizado a las solicitudes que envíe al Application Load Balancer y configure el Application Load Balancer para que reenvíe solo las solicitudes que contengan el encabezado HTTP personalizado.

  • Utilice una lista de prefijos administrada por AWS para el grupo CloudFront de seguridad Application Load Balancer. Esto limita el tráfico HTTP/HTTPS entrante a su Application Load Balancer únicamente desde las direcciones IP que pertenecen CloudFront a los servidores de origen.

Para obtener más información, consulte Restringir el acceso a los balanceadores de carga de aplicaciones en la documentación. CloudFront

Orígenes estáticos: Amazon S3 y AWS Elemental MediaStore

Puede configurarlo CloudFront para usar Amazon S3 o AWS Elemental MediaStore Origins para la entrega de contenido estático. Estos orígenes se implementan en la cuenta de la aplicación. Si sus CloudFront distribuciones están en la cuenta de red, debe configurar permisos entre cuentas para que la CloudFront distribución en la cuenta de red pueda acceder a los orígenes.

Para comprobar que solo se accede a sus puntos finales de origen estáticos a través de la Internet pública, CloudFront y no directamente a través de ella, puede utilizar las configuraciones de control de acceso a origen (OAC). Para obtener más información sobre cómo restringir el acceso, consulte Restringir el acceso a un origen de Amazon S3 y Restringir el acceso a un MediaStore origen en la CloudFront documentación.

AWS Firewall Manager

AWS Firewall Manager simplifica las tareas de administración y mantenimiento en varias cuentas y recursos, incluidos AWS WAF, AWS Shield Avanzado, los grupos de seguridad de Amazon VPC, AWS Network Firewall y Amazon Route 53 Resolver DNS Firewall, para ofrecer diversas protecciones.

Delegue la cuenta de herramientas de seguridad como cuenta de administrador predeterminada de Firewall Manager y úsela para gestionar de forma centralizada las reglas de AWS WAF y las protecciones de Shield Avanzado en todas las cuentas de su organización. Utilice Firewall Manager para gestionar de forma centralizada las reglas comunes de AWS WAF y, al mismo tiempo, ofrecer a cada equipo de aplicaciones la flexibilidad para añadir reglas específicas de la aplicación a la ACL web. Esto ayuda a aplicar políticas de seguridad en toda la organización, como la protección contra vulnerabilidades comunes, al tiempo que permite a los equipos de aplicaciones añadir reglas de AWS WAF específicas para su aplicación.

Utilice el registro de Firewall Manager para centralizar los registros de AWS WAF en un bucket de S3 de la cuenta de herramientas de seguridad y replique los registros en la cuenta de registro de archivos para archivarlos para investigaciones de seguridad. Además, integre Firewall Manager con AWS Security Hub para visualizar de forma centralizada los detalles de configuración y las notificaciones DDoS en Security Hub.

Para obtener recomendaciones adicionales, consulte AWS Firewall Manager en la sección de Security Tooling de esta guía.

AWS Security Hub

La integración entre Firewall Manager y Security Hub envía cuatro tipos de resultados a Security Hub:

  • Recursos que no están debidamente protegidos por las normas de AWS WAF

  • Recursos que no están debidamente protegidos por AWS Shield Avanzado

  • Resultados de Shield Avanzado que indican que se está produciendo un ataque DDoS

  • Grupos de seguridad que se utilizan de forma incorrecta

Estos resultados de todas las cuentas de los miembros de la organización se agregan a la cuenta de administrador delegado de Security Hub (Security Tooling). La cuenta de herramientas de seguridad agrega, organiza y prioriza las alertas de seguridad o los resultados en un solo lugar. Usa las reglas de Amazon CloudWatch Events para enviar los resultados a los sistemas de venta de entradas o crea soluciones automáticas, como bloquear los rangos de IP maliciosos.

Para obtener recomendaciones adicionales, consulte AWS Security Hub en la cuenta de herramientas de seguridad de esta guía.

Amazon GuardDuty

Puede utilizar la inteligencia de amenazas proporcionada por Amazon GuardDuty para actualizar automáticamente las ACL web en respuesta a GuardDuty los hallazgos. Por ejemplo, si GuardDuty detecta una actividad sospechosa, la automatización se puede utilizar para actualizar la entrada en los conjuntos de IP de AWS WAF y aplicar las ACL web de AWS WAF a los recursos afectados para bloquear la comunicación desde el host sospechoso mientras se llevan a cabo investigaciones y soluciones adicionales. La cuenta Security Tooling es la cuenta de administrador delegado para. GuardDuty Por lo tanto, debe utilizar una función de AWS Lambda con permisos entre cuentas para actualizar los conjuntos IP de AWS WAF en la cuenta de aplicación.

Para obtener recomendaciones adicionales, consulta Amazon GuardDuty en la sección de cuentas de Security Tooling de esta guía.

AWS Config

AWS Config es un requisito previo para Firewall Manager y se implementa en cuentas de AWS, incluidas la cuenta de red y la cuenta de aplicación. Además, utilice las reglas de AWS Config para verificar que los recursos implementados cumplen con las prácticas recomendadas de seguridad. Por ejemplo, puede usar una regla de AWS Config para comprobar si todas las CloudFront distribuciones están asociadas a una ACL web o exigir que todas CloudFront las distribuciones estén configuradas para entregar los registros de acceso a un bucket de S3.

Para obtener recomendaciones adicionales, consulte AWS Config en la sección de Security Tooling de esta guía.