SEC09-BP03 Autenticar las comunicaciones de red

Verifique la identidad de las comunicaciones mediante protocolos que admitan la autenticación, como Transport Layer Security (TLS) oIPsec.

Diseñe su carga de trabajo para utilizar protocolos de red seguros y autenticados siempre que haya una comunicación entre servicios, aplicaciones o usuarios. El uso de protocolos de red que admiten autenticación y autorización proporciona un mayor control sobre los flujos de red y reduce la repercusión del acceso no autorizado.

Resultado deseado: una carga de trabajo con flujos de tráfico entre servicios bien definidos en el plano de datos y en el plano de control. Los flujos de tráfico utilizan protocolos de red autenticados y cifrados cuando es técnicamente posible.

Patrones comunes de uso no recomendados:

Tener tráfico no cifrado o no autenticado en la carga de trabajo.
Reutilizar credenciales de autenticación para varios usuarios o entidades.
Confiar únicamente en los controles de red como mecanismo de control de acceso.
Crear un mecanismo de autenticación personalizado en lugar de confiar en los mecanismos de autenticación estándar del sector.
El tráfico excesivamente permisivo fluye entre los componentes del servicio u otros recursos del. VPC

Beneficios de establecer esta práctica recomendada:

Limita el alcance de la repercusión del acceso no autorizado a una parte de la carga de trabajo.
Proporciona un nivel de garantía mayor de que las acciones solo las llevan a cabo entidades autenticadas.
Mejora el desacoplamiento de los servicios al definir claramente las interfaces de transferencia de datos previstas y obligar a usarlas.
Mejora la supervisión, el registro y la respuesta a los incidentes mediante la atribución de solicitudes y unas interfaces de comunicación bien definidas.
Soporta defense-in-depth sus cargas de trabajo mediante la combinación de controles de red con controles de autenticación y autorización.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: bajo

Guía para la implementación

Los patrones de tráfico de red de la carga de trabajo se pueden clasificar en dos categorías:

El tráfico este-oeste representa los flujos de tráfico entre los servicios que constituyen una carga de trabajo.
El tráfico norte-sur representa los flujos de tráfico entre su carga de trabajo y los consumidores.

Aunque es una práctica común cifrar el tráfico norte-sur, es menos común proteger el tráfico este-oeste mediante protocolos autenticados. Las prácticas de seguridad modernas recomiendan que el diseño de red por sí solo no garantice una relación de confianza entre dos entidades. Cuando dos servicios pueden residir dentro de un límite de red común, sigue siendo una buena práctica recomendada cifrar, autenticar y autorizar las comunicaciones entre esos servicios.

Por ejemplo, el AWS servicio APIs utiliza el protocolo de firma AWS Signature versión 4 (SigV4) para autenticar a la persona que llama, independientemente de la red de la que se origine la solicitud. Esta autenticación garantiza que AWS APIs se pueda verificar la identidad que solicitó la acción y, posteriormente, esa identidad se puede combinar con las políticas para tomar una decisión de autorización que determine si la acción debe permitirse o no.

Los servicios como Amazon VPC Lattice y Amazon API Gateway le permiten utilizar el mismo protocolo de firma SigV4 para añadir autenticación y autorización al tráfico de este a oeste en sus propias cargas de trabajo. Si los recursos ajenos a su AWS entorno necesitan comunicarse con servicios que requieren autenticación y autorización basadas en SIGv4, puede utilizar AWS Identity and Access Management (IAM) Roles Anywhere, en la zona que no es el recurso, para adquirir credenciales temporales.AWS AWS Estas credenciales se pueden usar para firmar solicitudes de los servicios que utilizan SigV4 para autorizar el acceso.

Otro mecanismo común para autenticar el tráfico este-oeste es TLS la autenticación mutua (m). TLS Muchos microservicios, business-to-business aplicaciones y Internet de las cosas (IoT) utilizan m TLS para validar la identidad de ambos lados de una TLS comunicación mediante el uso de certificados X.509 del lado del cliente y del servidor. Estos certificados los puede emitir (). AWS Private Certificate Authority AWS Private CA Puede utilizar servicios como Amazon API Gateway y AWS App Meshproporcionar una TLS autenticación m para la comunicación entre cargas de trabajo o dentro de ellas. Si bien m TLS proporciona información de autenticación para ambos lados de una TLS comunicación, no proporciona un mecanismo de autorización.

Por último, OAuth 2.0 y OpenID Connect (OIDC) son dos protocolos que se utilizan normalmente para controlar el acceso de los usuarios a los servicios, pero que ahora también se están volviendo populares para service-to-service el tráfico. APIGateway proporciona un autorizador JSON Web Token (JWT), que permite que las cargas de trabajo restrinjan el acceso a API las rutas que utilizan proveedores de JWTs identidad emitidos desde OIDC o OAuth 2.0. OAuth2Los ámbitos se pueden utilizar como fuente para las decisiones de autorización básicas, pero las comprobaciones de autorización aún deben implementarse en la capa de aplicación, y los OAuth2 ámbitos por sí solos no pueden satisfacer necesidades de autorización más complejas.

Pasos para la implementación

Defina y documente los flujos de red de su carga de trabajo: el primer paso para implementar una defense-in-depth estrategia es definir los flujos de tráfico de su carga de trabajo.
- Cree un diagrama de flujo de datos en el que se defina claramente cómo se transmiten los datos entre los diferentes servicios que componen su carga de trabajo. Este diagrama es el primer paso para imponer esos flujos a través de canales de red autentificados.
- Instrumente su carga de trabajo en las fases de desarrollo y prueba para validar que el diagrama de flujo de datos refleje con precisión el comportamiento de la carga de trabajo en tiempo de ejecución.
- Un diagrama de flujo de datos también puede resultar útil al realizar un ejercicio de modelado de amenazas, como se describe en el artículo SEC01-BP07. Identifique las amenazas y priorice las mitigaciones mediante un modelo de amenazas.
Establezca controles de red: considere AWS las capacidades para establecer controles de red alineados con sus flujos de datos. Si bien los límites de la red no deberían ser el único control de seguridad, proporcionan una capa en la defense-in-depth estrategia para proteger su carga de trabajo.
- Use grupos de seguridad para establecer, definir y restringir los flujos de datos entre los recursos.
- Considere la posibilidad de utilizarlos AWS PrivateLinkpara comunicarse tanto AWS con los servicios compatibles como con los de terceros AWS PrivateLink. Los datos enviados a través de un punto final de AWS PrivateLink interfaz permanecen dentro de la AWS red troncal y no atraviesan la Internet pública.
Implemente la autenticación y la autorización en todos los servicios de su carga de trabajo: elija el conjunto de AWS servicios más adecuado para proporcionar flujos de tráfico autenticados y cifrados en su carga de trabajo.
- Considere Amazon VPC Lattice para garantizar la service-to-service comunicación. VPCLattice puede usar la autenticación SigV4 combinada con políticas de autenticación para controlar el acceso. service-to-service
- Para service-to-service comunicarse con mTLS, considere APIGateway o App Mesh. AWS Private CAse puede usar para establecer una jerarquía de CA privada capaz de emitir certificados para su uso con mTLS.
- Al realizar la integración con los servicios mediante la OAuth versión 2.0 oOIDC, considere la posibilidad de que APIGateway utilice el JWT autorizador.
- Para la comunicación entre la carga de trabajo y los dispositivos de IoT, considere la posibilidad de usar AWS IoT Core, que ofrece varias opciones para el cifrado y la autenticación del tráfico de red.
Supervisión del acceso no autorizado: supervise continuamente los canales de comunicación no deseados, las entidades principales no autorizadas que intentan acceder a los recursos protegidos y otros patrones de acceso inadecuados.
- Si usa VPC Lattice para administrar el acceso a sus servicios, considere habilitar y monitorear los registros de acceso de VPCLattice. Estos registros de acceso incluyen información sobre la entidad solicitante, información de la red, incluidos el origen y el destinoVPC, y los metadatos de la solicitud.
- Considere la posibilidad de habilitar los registros de VPC flujo para capturar los metadatos de los flujos de red y revisarlos periódicamente para detectar anomalías.
- Consulte la Guía de respuesta a incidentes de AWS seguridad y la sección Respuesta a incidentes del pilar de seguridad del AWS Well-Architected Framework para obtener más orientación sobre la planificación, simulación y respuesta a los incidentes de seguridad.

Recursos

Prácticas recomendadas relacionadas:

Documentos relacionados:

Videos relacionados:

Ejemplos relacionados:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

SEC09-BP02 Imponga el cifrado en tránsito

Respuesta frente a incidencias