SEC06-BP05 Automatización de la protección de computación

Automatice las operaciones de protección de computación para reducir la necesidad de intervención humana. Utilice el análisis automatizado para detectar posibles problemas en sus recursos de computación y use respuestas programáticas automatizadas u operaciones de administración de flotas para solucionarlos. Incorpore la automatización en sus procesos de CI/CD para implementar cargas de trabajo fiables con dependencias actualizadas.

Resultado deseado: los sistemas automatizados llevan a cabo todos los escaneos y parches de los recursos de computación. Use la verificación automática para comprobar que las imágenes y dependencias del software provengan de orígenes fiables y que no se hayan manipulado. Las cargas de trabajo se comprueban automáticamente para determinar si las dependencias están actualizadas y se firman para establecer la fiabilidad en los entornos de computación de AWS. Las correcciones automatizadas se inician cuando se detectan recursos no conformes con los requisitos.

Patrones comunes de uso no recomendados:

Seguir la práctica de una infraestructura inmutable sin contar con una solución para la instalación de parches de emergencia o la sustitución de sistemas de producción.
Usar la automatización para corregir los recursos mal configurados sin contar con un mecanismo de anulación manual. Es posible que surjan situaciones en las que necesite ajustar los requisitos y tenga que suspender las automatizaciones hasta haber hecho estos cambios.

Beneficios de establecer esta práctica recomendada: la automatización puede reducir el riesgo de accesos y usos no autorizados de sus recursos de computación. Ayuda a evitar que lleguen configuraciones incorrectas a los entornos de producción y a detectarla y corregirlas en caso de que se produzcan. La automatización también contribuye a detectar el acceso y el uso no autorizados de los recursos informáticos para reducir el tiempo de respuesta. Esto, a su vez, puede reducir el alcance general del impacto del problema.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

Puede aplicar las automatizaciones descritas en las prácticas del pilar de seguridad para proteger sus recursos de computación. En SEC06-BP01 Administración de las vulnerabilidades se describe cómo puede utilizar Amazon Inspector tanto en sus canalizaciones de CI/CD como para analizar continuamente sus entornos en tiempo de ejecución en busca de vulnerabilidades y exposiciones comunes (CVE) conocidas. Puede usar AWS Systems Manager para aplicar parches o volver a implementar imágenes nuevas mediante manuales de procedimientos automatizados para mantener su flota de computación actualizada con el software y las bibliotecas más recientes. Utilice estas técnicas para reducir la necesidad de recurrir a procesos manuales y el acceso interactivo a sus recursos informáticos. Consulte SEC06-BP03 Reducción de la administración manual y el acceso interactivo para obtener más información.

La automatización también desempeña un papel en la implementación de cargas de trabajo confiables, tal como se describe en SEC06-BP02 Aprovisionamiento de computación a partir de imágenes reforzadas y SEC06-BP04 Validación de la integridad del software. Puede usar servicios como el Generador de imágenes de EC2, AWS Signer, AWS CodeArtifact y Amazon Elastic Container Registry (ECR) para descargar, verificar, construir y almacenar dependencias de código e imágenes reforzadas y aprobadas. Junto con Inspector, cada uno de estos elementos puede desempeñar un papel en su proceso de CI/CD, de modo que su carga de trabajo llegue al entorno de producción solo cuando se confirme que sus dependencias están actualizadas y provienen de orígenes fiables. La carga de trabajo también está firmada para que los entornos de computación de AWS, como AWS Lambda y Amazon Elastic Kubernetes Service (EKS), puedan verificar que no se ha manipulado antes de permitir su ejecución.

Además de estos controles preventivos, también puede utilizar la automatización en sus controles de detección para sus recursos de computación. Por ejemplo, AWS Security Hub ofrece el estándar NIST 800-53 Rev. 5, que incluye comprobaciones como esta: [EC2.8] las instancias de EC2 deben usar la versión 2 del servicio de metadatos de instancia (IMDSv2). El IMDSv2 utiliza técnicas de autenticación de sesión y bloquea las solicitudes que contienen un encabezado HTTP X-Forwarded-For y un TTL de red de 1 para detener el tráfico que se origina en fuentes externas para recuperar información sobre la instancia de EC2. Esta comprobación en Security Hub puede detectar si las instancias de EC2 utilizan IMDSv1 e iniciar una corrección automática. Obtenga más información sobre la detección y las correcciones automatizadas en SEC04-BP04 Inicio de correcciones para recursos no conformes.

Pasos para la implementación

Automatice la creación de AMI seguras, compatibles y reforzadas con el Generador de imágenes de EC2. Puede producir imágenes que incorporen los controles de los estándares comparativos del Center for Internet Security (CIS) o de la Security Technical Implementation Guide (STIG) a partir de imágenes base de AWS e imágenes de socios de APN.
Automatice la administración de la configuración. Aplique y valide configuraciones seguras en sus recursos de computación de forma automática mediante el uso de un servicio o herramienta de gestión de configuraciones.
1. Administración automatizada de la configuración con AWS Config
2. Administración automatizada de la posición de seguridad y cumplimiento mediante AWS Security Hub
Automatice la aplicación de parches o el reemplazo de instancias de Amazon Elastic Compute Cloud (Amazon EC2). AWS Systems Manager Patch Manager automatiza el proceso de aplicación de parches a instancias administradas con actualizaciones de seguridad y de otro tipo. Puede utilizar Patch Manager para aplicar parches a los sistemas operativos y a las aplicaciones.
1. AWS Systems Manager Patch Manager
Automatice el análisis de los recursos de computación en busca de vulnerabilidades y exposiciones comunes (CVE) e incorpore soluciones de análisis de seguridad en su proceso de desarrollo.
1. Amazon Inspector
2. ECR Image Scanning
Plantéese el uso de Amazon GuardDuty para detectar amenazas y malware de forma automática con el fin de proteger los recursos de computación. GuardDuty también puede identificar posibles problemas cuando se invoca una función de AWS Lambda en su entorno de AWS.
1. Amazon GuardDuty
Tenga en cuenta las soluciones de socios de AWS. AWS Los socios ofrecen cientos de productos destacados que son equivalentes o idénticos a los controles que ya utiliza en sus entornos en las instalaciones o que pueden integrarse con ellos. Estos productos complementan a los servicios de AWS existentes y le permiten implementar una arquitectura de seguridad integral, así como disfrutar de una experiencia más fluida tanto en la nube como en los entornos en las instalaciones.
1. Seguridad de infraestructuras

Recursos

Prácticas recomendadas relacionadas:

SEC01-BP06 Automatización de la implementación de controles de seguridad estándares

Documentos relacionados:

Get the full benefits of IMDSv2 and disable IMDSv1 across your AWS infrastructure

Videos relacionados:

Security best practices for the Amazon EC2 instance metadata service

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

SEC06-BP04 Validación de la integridad del software

Protección de datos