SEC05-BP03 Implementación de una protección basada en la inspección - Marco de AWS Well-Architected
Guía para la implementaciónPasos para la implementaciónRecursos

SEC05-BP03 Implementación de una protección basada en la inspección

Configure puntos de inspección del tráfico entre las capas de la red para asegurarse de que los datos en tránsito coincidan con las categorías y los patrones esperados.  Analice los flujos de tráfico, los metadatos y los patrones para ayudar a identificar y detectar los eventos y responder a ellos de manera más eficaz.

Resultado deseado: se inspecciona y se autoriza el tráfico que atraviesa las capas de la red.  Basa las decisiones de permiso o denegación en reglas explícitas, información sobre amenazas y desviaciones de los comportamientos de referencia.  Las protecciones son más estrictas a medida que el tráfico se acerca a los datos confidenciales.

Patrones comunes de uso no recomendados:

  • Confiar únicamente en las reglas de firewall basadas en puertos y protocolos. No aprovechar los sistemas inteligentes.

  • Crear reglas de firewall sobre la base de patrones de amenazas actuales específicos sujetos a cambios.

  • Inspeccionar únicamente el tráfico cuando fluye de subredes privadas a públicas, o de subredes públicas a Internet.

  • No tener una visión básica del tráfico de la red para comparar las anomalías de comportamiento.

Beneficios de establecer esta práctica recomendada: los sistemas de inspección permiten crear reglas inteligentes, como permitir o denegar el tráfico únicamente cuando existan ciertas condiciones en los datos del tráfico. Beneficiarse de los conjuntos de reglas administradas de AWS y nuestros socios, sobre la base de la inteligencia de amenazas más reciente, a medida que el panorama de amenazas cambia con el tiempo.  Esto reduce los gastos administrativos que supone mantener las reglas e investigar los indicadores de situaciones de riesgo, lo que reduce la posibilidad de que se produzcan falsos positivos.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

Controle minuciosamente el tráfico de red con y sin estado mediante AWS Network Firewall, otros firewalls y otros sistemas de prevención de intrusiones (IPS) en AWS Marketplace, que puede implementar detrás de un equilibrador de carga de puerta de enlace (GWLB). AWS Network Firewall es compatible con las especificaciones de IPS de código abierto compatibles con Suricata para proteger su carga de trabajo.

Tanto AWS Network Firewall como las soluciones de otros proveedores que utilizan un GWLB admiten diferentes modelos de implementación de inspecciones en línea.  Por ejemplo, puede llevar a cabo la inspección en cada VPC, centralizarla en una VPC de inspección o implementarla en un modelo híbrido en el que el tráfico este-oeste fluya a través de una VPC de inspección y las entradas a Internet se inspeccionen en cada VPC.  Otra consideración es si la solución admite desempaquetar la seguridad de la capa de transporte (TLS), lo que permite una inspección profunda de los paquetes en busca de flujos de tráfico iniciados en cualquier dirección. Para obtener más información y detalles en profundidad sobre estas configuraciones, consulte la guía AWS Network Firewall Best Practice.

Si utiliza soluciones que inspeccionan fuera de banda, como el análisis pcap de datos de paquetes de las interfaces de red que funcionan en modo promiscuo, puede configurar el reflejo del tráfico de la VPC. El tráfico reflejado se incluye en el ancho de banda disponible de sus interfaces y está sujeto a los mismos cargos por transferencia de datos que el tráfico no reflejado. Puede comprobar si hay versiones virtuales de estos dispositivos disponibles en AWS Marketplace, que podrían admitir la implementación en línea detrás de un GWLB.

En el caso de los componentes que llevan a cabo transacciones con protocolos basados en HTTP, proteja su aplicación ante las amenazas comunes con un firewall de aplicaciones web (WAF). AWS WAF es un firewall de aplicaciones web que le permite supervisar y bloquear las solicitudes HTTP(S) que coincidan con sus reglas configurables antes de enviarlas a Amazon API Gateway, Amazon CloudFront, AWS AppSync o un equilibrador de carga de aplicación. Piense en la posibilidad de llevar a cabo una inspección de paquetes en profundidad cuando evalúe la implementación del firewall de su aplicación web, ya que algunos requieren que finalice la seguridad de la capa de transporte (TLS) antes de la inspección del tráfico. Para empezar con AWS WAF, puede usar Reglas administradas de AWS junto con sus propias integraciones de socios o utilizar las existentes.

Puede administrar de forma centralizada AWS WAF, AWS Shield Advanced, AWS Network Firewall y los grupos de seguridad de Amazon VPC en toda su organización de AWS con AWS Firewall Manager

Pasos para la implementación

  1. Determine si puede aplicar las reglas de inspección de manera amplia (por ejemplo, mediante una VPC de inspección) o si necesita un enfoque más detallado por cada VPC.

  2. Para soluciones de inspección en línea:

    1. Si utiliza AWS Network Firewall, cree reglas, políticas de firewall y el propio firewall. Una vez configurado esto, puede redirigir el tráfico al punto de conexión del firewall para facilitar la inspección. 

    2. Si utiliza un dispositivo de terceros con un equilibrador de carga de puerta de enlace (GWLB), implemente y configure su dispositivo en una o más zonas de disponibilidad. A continuación, cree su GWLB, el servicio de punto de conexión y el punto de conexión, y configure el enrutamiento para su tráfico.

  3. Para soluciones de inspección fuera de banda:

    1. Active el reflejo del tráfico de VPC en las interfaces en las que se deba reflejar el tráfico entrante y saliente. Puede usar reglas de Amazon EventBridge para invocar una función de AWS Lambda con el fin de activar el reflejo del tráfico en las interfaces cuando se creen nuevos recursos. Dirija las sesiones de reflejo del tráfico al equilibrador de carga de red situado frente al dispositivo que procese el tráfico.

  4. Para soluciones de tráfico web entrante:

    1. Para configurar AWS WAF, comience por configurar una lista de control de acceso web (ACL web). La ACL web es una colección de reglas con una acción predeterminada procesada en serie (PERMITIR o DENEGAR) que define la forma en que gestiona el tráfico el WAF. Puede crear sus propias reglas y grupos o usar grupos de reglas administradas de AWS en su ACL web.

    2. Una vez configurada la ACL web, asocie la ACL web a un recurso de AWS (como un equilibrador de carga de aplicación, API Gateway, una API de REST o una distribución de CloudFront) para comenzar a proteger el tráfico web.

Recursos

Documentos relacionados:

Ejemplos relacionados:

Herramientas relacionadas: