SEC01-BP01 Separación de cargas de trabajo con cuentas

Establezca barreras de protección y medidas de aislamiento comunes entre los entornos (por ejemplo, producción, desarrollo y pruebas) y las cargas de trabajo mediante una estrategia de varias cuentas. Es muy recomendable que la separación se haga en la cuenta, ya que así se consigue una barrera de aislamiento sólida para gestionar la seguridad, la facturación y el acceso.

Resultado deseado: una estructura de cuentas que aísla las operaciones en la nube, las cargas de trabajo no relacionadas y los entornos en cuentas independientes, lo que aumenta la seguridad en toda la infraestructura de la nube.

Patrones comunes de uso no recomendados:

Colocar en la misma cuenta varias cargas de trabajo no relacionadas con diferentes niveles de confidencialidad de los datos.
Definir de manera insuficiente la estructura de la unidad organizativa (OU).

Beneficios de establecer esta práctica recomendada:

Menor alcance del impacto si se accede inadvertidamente a una carga de trabajo.
Gobernanza central del acceso a los servicios, recursos y regiones de AWS.
Mantenimiento de la seguridad de la infraestructura en la nube con políticas y una administración centralizada de los servicios de seguridad.
Proceso automatizado de creación y mantenimiento de las cuentas.
Auditoría centralizada de la infraestructura para los requisitos de conformidad y reglamentarios.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

Las Cuentas de AWS proporcionan una barrera de aislamiento de seguridad entre cargas de trabajo o recursos que operan con distintos niveles de confidencialidad. AWS ofrece herramientas para administrar las cargas de trabajo en la nube a escala mediante una estrategia de varias cuentas para aprovechar esta barrera de aislamiento. Para obtener orientación sobre los conceptos, los patrones y la implementación de una estrategia de varias cuentas en AWS, consulte Organizing Your AWS Environment Using Multiple Accounts.

Cuando tenga varias Cuentas de AWS con una administración central, las cuentas deben organizarse en una jerarquía definida por capas de unidades organizativas (OU). Luego, pueden organizarse y aplicarse controles de seguridad a las OU y a las cuentas miembro mediante el establecimiento de controles preventivos uniformes en las cuentas miembros de la organización. Los controles de seguridad se heredan, lo que permite filtrar los permisos disponibles para las cuentas miembros situadas en niveles inferiores de una jerarquía de OU. Un buen diseño aprovecha esta herencia para reducir el número y la complejidad de las políticas de seguridad necesarias para lograr los controles de seguridad deseados para cada cuenta miembro.

AWS Organizations y AWS Control Tower son dos servicios que puede utilizar para implementar y administrar esta estructura de varias cuentas en el entorno de AWS. AWS Organizations le permite organizar las cuentas en una jerarquía definida por una o más capas de unidades organizativas, y cada unidad organizativa contiene varias cuentas miembro. Las políticas de control de servicio (SCP) permiten al administrador de la organización establecer controles preventivos detallados en las cuentas miembro, y AWS Config se puede utilizar para establecer controles proactivos y de detección en las cuentas miembro. Muchos servicios de AWS se integran en AWS Organizations para proporcionar controles administrativos delegados y llevar a cabo tareas específicas del servicio en todas las cuentas miembro de la organización.

Además de AWS Organizations, AWS Control Tower ofrece una configuración de prácticas recomendadas con un solo clic para un entorno de AWS de varias cuentas con una zona de aterrizaje. La zona de aterrizaje es el punto de entrada al entorno de varias cuentas que se establece por medio de Control Tower. Control Tower ofrece varias ventajas frente a AWS Organizations. Estas son tres ventajas que mejoran la gobernanza de las cuentas:

Controles de protección de seguridad obligatorios integrados que se aplican automáticamente a las cuentas que se admiten en la organización.
Controles de protección opcionales que pueden activarse o desactivarse para un conjunto determinado de OU.
AWS Control Tower Account Factory ofrece una implementación automatizada de cuentas que contienen bases de referencia y opciones de configuración previamente aprobadas dentro de su organización.

Pasos para la implementación

Diseño de una estructura de unidades organizativas: una estructura de unidades organizativas bien diseñada reduce la carga administrativa necesaria para crear y mantener las políticas de control de servicios y otros controles de seguridad. La estructura de la unidad organizativa debe estar alineada con las necesidades empresariales, la confidencialidad de los datos y la estructura de las carga de trabajo.
Creación de una zona de aterrizaje para el entorno de varias cuentas: una zona de aterrizaje proporciona una base de seguridad e infraestructura coherente a partir de la cual la organización puede desarrollar, lanzar e implementar cargas de trabajo rápidamente. Puede utilizar una zona de aterrizaje hecha a medida o AWS Control Tower para organizar el entorno.
Establecimiento de barreras de protección: implemente barreras de protección de seguridad uniformes para el entorno a través de la zona de aterrizaje. AWS Control Tower proporciona una lista de controles obligatorios y opcionales que se pueden implementar. Los controles obligatorios se implementan automáticamente al implementar Control Tower. Revise la lista de los controles más recomendables y opcionales, e implemente los controles que sean adecuados a sus necesidades.
Restricción del acceso a las regiones recién agregadas: en el caso de las nuevas Regiones de AWS, los recursos de IAM, como los usuarios y roles, solo se propagan a las regiones que especifique. Esta acción se puede llevar a cabo a través de la consola cuando se utiliza Control Tower o mediante el ajuste de las políticas de permisos de IAM en AWS Organizations.
Consideración de uso AWS CloudFormation StackSets: StackSets le ayuda a implementar recursos que incluyen políticas, roles y grupos de IAM en diferentes regiones y Cuentas de AWS a partir de una plantilla aprobada.

Recursos

Prácticas recomendadas relacionadas:

SEC02-BP04 Uso de un proveedor de identidades centralizado

Documentos relacionados:

Videos relacionados:

Talleres relacionados:

Control Tower Immersion Day

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

SEC 1. ¿Cómo gestiona su carga de trabajo de forma segura?

SEC01-BP02 Protección del usuario raíz y las propiedades de la cuenta