SEC05-BP03 Implemente una protección basada en la inspección - AWS Marco Well-Architected
Guía para la implementaciónPasos para la implementaciónRecursos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

SEC05-BP03 Implemente una protección basada en la inspección

Configure puntos de inspección del tráfico entre las capas de la red para asegurarse de que los datos en tránsito coincidan con las categorías y los patrones esperados.  Analice los flujos de tráfico, los metadatos y los patrones para ayudar a identificar y detectar los eventos y responder a ellos de manera más eficaz.

Resultado deseado: se inspecciona y se autoriza el tráfico que atraviesa las capas de la red.  Basa las decisiones de permiso o denegación en reglas explícitas, información sobre amenazas y desviaciones de los comportamientos de referencia.  Las protecciones son más estrictas a medida que el tráfico se acerca a los datos confidenciales.

Patrones comunes de uso no recomendados:

  • Confiar únicamente en las reglas de firewall basadas en puertos y protocolos. No aprovechar los sistemas inteligentes.

  • Crear reglas de firewall sobre la base de patrones de amenazas actuales específicos sujetos a cambios.

  • Inspeccionar únicamente el tráfico cuando fluye de subredes privadas a públicas, o de subredes públicas a Internet.

  • No tener una visión básica del tráfico de la red para comparar las anomalías de comportamiento.

Beneficios de establecer esta práctica recomendada: los sistemas de inspección permiten crear reglas inteligentes, como permitir o denegar el tráfico únicamente cuando existan ciertas condiciones en los datos del tráfico. Aproveche los conjuntos de reglas gestionados por nuestros socios AWS y basados en la inteligencia de amenazas más reciente, a medida que el panorama de amenazas cambia con el tiempo.  Esto reduce los gastos administrativos que supone mantener las reglas e investigar los indicadores de situaciones de riesgo, lo que reduce la posibilidad de que se produzcan falsos positivos.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

Tenga un control pormenorizado del tráfico de red con y sin estado mediante AWS Network Firewall, u otros firewalls y sistemas de prevención de intrusiones () AWS Marketplace que pueda implementar detrás de un Gateway Load Balancer (IPS). GWLBAWS Network Firewall es compatible con las especificaciones de código abierto compatibles con Suricata para ayudarle a proteger su carga de trabajo. IPS

AWS Network Firewall Tanto las soluciones como las de los proveedores que utilizan una GWLB admiten diferentes modelos de implementación de la inspección en línea.  Por ejemplo, puede realizar una inspección por separado, centralizarla en una inspección VPC o utilizar un modelo híbrido en el que el tráfico de este a oeste fluya durante una inspección VPC y la entrada a Internet se inspeccione por separado. VPC VPC  Otra cuestión a tener en cuenta es si la solución permite desempaquetar Transport Layer Security (TLS), lo que permite inspeccionar en profundidad los paquetes para detectar los flujos de tráfico que se inician en cualquier dirección. Para obtener más información y detalles en profundidad sobre estas configuraciones, consulte la guía AWS Network Firewall Best Practice.

Si utiliza soluciones que realizan out-of-band inspecciones, como el análisis pcap de los paquetes de datos de las interfaces de red que funcionan en modo promiscuo, puede configurar la duplicación del tráfico. VPC El tráfico reflejado se incluye en el ancho de banda disponible de sus interfaces y está sujeto a los mismos cargos por transferencia de datos que el tráfico no reflejado. Puede comprobar si hay versiones virtuales de estos dispositivos disponibles en el AWS Marketplace, que pueden admitir la implementación en línea detrás de un. GWLB

En el caso de los componentes que realizan transacciones a través de protocolos HTTP basados, proteja su aplicación de las amenazas más comunes con un firewall de aplicaciones web ()WAF. AWS WAFes un firewall de aplicaciones web que le permite monitorear y bloquear HTTP las solicitudes que coincidan con sus reglas configurables antes de enviarlas a Amazon API Gateway CloudFront, Amazon AWS AppSync o un Application Load Balancer. Considere la posibilidad de realizar una inspección exhaustiva de los paquetes cuando evalúe la implementación de su firewall de aplicaciones web, ya que algunos requieren que finalice TLS antes de la inspección de tráfico. Para empezar AWS WAF, puede usarlo Reglas administradas de AWSen combinación con el suyo propio o utilizar las integraciones de socios existentes.

Puede gestionar de forma centralizada AWS WAF los AWS Shield Advanced grupos de VPC seguridad de Amazon y Amazon en toda su AWS organización con AWS Firewall Manager. AWS Network Firewall 

Pasos para la implementación

  1. Determine si puede aplicar las reglas de inspección de manera amplia, por ejemploVPC, mediante una inspección, o si necesita un VPC enfoque más detallado por separado.

  2. Para soluciones de inspección en línea:

    1. Si AWS Network Firewall lo usa, cree reglas, políticas de firewall y el propio firewall. Una vez configurado esto, puede redirigir el tráfico al punto de conexión del firewall para facilitar la inspección. 

    2. Si utiliza un dispositivo de terceros con un Gateway Load Balancer (GWLB), implemente y configure el dispositivo en una o más zonas de disponibilidad. A continuación, cree el suyoGWLB, el servicio de punto final, el punto final y configure el enrutamiento para el tráfico.

  3. Para soluciones out-of-band de inspección:

    1. Active la duplicación VPC del tráfico en las interfaces en las que se debe reflejar el tráfico entrante y saliente. Puedes usar EventBridge las reglas de Amazon para invocar una AWS Lambda función que active la duplicación de tráfico en las interfaces cuando se creen nuevos recursos. Dirija las sesiones de reflejo del tráfico al equilibrador de carga de red situado frente al dispositivo que procese el tráfico.

  4. Para soluciones de tráfico web entrante:

    1. Para configurarlo AWS WAF, comience por configurar una lista de control de acceso web (web). ACL La web ACL es un conjunto de reglas con una acción (ALLOWoDENY) predeterminada procesada en serie que define cómo se WAF gestiona el tráfico. Puede crear sus propias reglas y grupos o utilizar grupos de reglas AWS gestionados en su webACL.

    2. Una vez que la web ACL esté configurada, asóciela ACL a un AWS recurso (como un Application Load Balancer, una API puerta REST API de enlace o una CloudFront distribución) para empezar a proteger el tráfico web.

Recursos

Documentos relacionados:

Ejemplos relacionados:

Herramientas relacionadas: