SEC08-BP03 Automatización de la protección de los datos en reposo - Pilar de seguridad

SEC08-BP03 Automatización de la protección de los datos en reposo

Utilice la automatización para validar y aplicar los controles de datos en reposo.  Utilice el análisis automatizado para detectar errores de configuración de sus soluciones de almacenamiento de datos y, en la medida de lo posible, aplique las correcciones mediante una respuesta programática automatizada.  Incorpore la automatización en sus procesos de CI/CD para detectar errores de configuración del almacenamiento de datos antes de que se implementen en producción.

Resultado deseado: los sistemas automatizados analizan y supervisan las ubicaciones de almacenamiento de datos para detectar los errores de configuración de los controles, el acceso no autorizado y el uso inesperado.  La detección de ubicaciones de almacenamiento mal configuradas inicia las correcciones automatizadas.  Los procesos automatizados crean copias de seguridad de los datos y almacenan copias inmutables fuera del entorno original.

Patrones comunes de uso no recomendados:

  • No tener en cuenta las opciones de habilitar el cifrado de forma predeterminada, cuando sea posible.

  • No tener en cuenta los eventos de seguridad, además de los eventos operativos, al formular una estrategia automatizada de copias de seguridad y recuperación.

  • No aplicar la configuración de acceso público a los servicios de almacenamiento.

  • No supervisar ni auditar los controles para proteger los datos en reposo.

Beneficios de establecer esta práctica recomendada: la automatización ayuda a prevenir el riesgo de configurar erróneamente las ubicaciones de almacenamiento de datos. También ayuda a evitar que los errores de configuración lleguen a los entornos de producción. Esta práctica recomendada también ayuda a detectar y corregir errores de configuración si se producen. 

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación 

La automatización es una noción común a todas las prácticas de protección de los datos en reposo. SEC01-BP06 Automatización de la implementación de controles de seguridad estándares describe cómo puede plasmar la configuración de sus recursos en plantillas de infraestructura como código (IaC), por ejemplo, conAWS CloudFormation.  Estas plantillas están confirmadas con un sistema de control de versiones y se utilizan para implementar recursos en AWS a través de una canalización de CI/CD.  Estas técnicas también se aplican a la automatización de la configuración de sus soluciones de almacenamiento de datos, como la configuración de cifrado en los buckets de Amazon S3.  

Puede comprobar la configuración que defina en sus plantillas de IaC para determinar si hay errores de configuración en sus canalizaciones de CI/CD mediante las reglas en AWS CloudFormation Guard.  Puede supervisar los ajustes que aún no estén disponibles en CloudFormation u otras herramientas de IaC para detectar errores de configuración con AWS Config.  Las alertas que Config genera por errores de configuración se pueden corregir automáticamente, tal como se describe en SEC04-BP04 Inicio de correcciones para recursos no conformes.

El uso de la automatización como parte de su estrategia de administración de permisos también es un componente integral de las protecciones de datos automatizadas. SEC03-BP02 Concesión de acceso con privilegios mínimos y SEC03-BP04 Reducción continua de los permisos describen la configuración de políticas de acceso con privilegios mínimos bajo la supervisión continua del AWS Identity and Access Management Access Analyzer para generar resultados cuando puedan reducirse los permisos.  Además de la automatización de los permisos de supervisión, puede configurar Amazon GuardDuty para detectar comportamientos anómalos en el acceso a los datos de sus volúmenes de EBS (a través de una instancia de EC2), buckets de S3 y bases de datos de Amazon Relational Database Service compatibles.

La automatización también desempeña un papel a la hora de detectar cuándo se almacenan datos confidenciales en ubicaciones no autorizadas. SEC07-BP03 Automatización de la identificación y la clasificación describe cómo Amazon Macie puede supervisar sus buckets de S3 para detectar datos confidenciales inesperados y generar alertas que puedan iniciar una respuesta automática.

Siga las prácticas de REL09 Copia de seguridad de los datos para desarrollar una estrategia automatizada de copia de seguridad y recuperación de datos. La copia de seguridad y la recuperación de datos son tan importantes para la recuperación de los eventos de seguridad como para los eventos operativos.

Pasos para la implementación

  1. Capture la configuración de almacenamiento de datos en plantillas de IaC.  Utilice comprobaciones automatizadas en sus canalizaciones de CI/CD para detectar errores de configuración.

    1. Para AWS CloudFormation puede usar sus plantillas de IaC, y AWS CloudFormation Guard para comprobar si hay errores de configuración en las plantillas.

    2. Utilice AWS Config para ejecutar reglas en un modo de evaluación proactiva. Use esta configuración para comprobar la conformidad de un recurso como uno de los pasos del proceso de CI/CD antes de crearlo.

  2. Supervise los recursos en busca de errores de configuración de almacenamiento de datos.

    1. Configure AWS Config para supervisar los recursos de almacenamiento de datos con el fin de detectar cambios en las configuraciones de control y para generar alertas que invoquen acciones correctivas cuando se detecte un error de configuración.

    2. Consulte SEC04-BP04 Inicio de correcciones para recursos no conformes para obtener más información sobre las correcciones automatizadas.

  3. Supervise y reduzca los permisos de acceso a los datos de forma continua mediante la automatización.

    1. El Analizador de acceso de IAM puede ejecutarse de forma continua para generar alertas cuando los permisos puedan reducirse.

  4. Supervise los comportamientos anómalos de acceso a los datos y emita alertas si detecta alguno.

    1. GuardDuty vigila tanto las firmas de amenazas conocidas como las desviaciones de los comportamientos de acceso básicos para los recursos de almacenamiento de datos, como los volúmenes de EBS, los buckets de S3 y las bases de datos de RDS.

  5. Supervise los datos confidenciales que se almacenan en ubicaciones inesperadas y emita alertas si detecta algún caso.

    1. Use Amazon Macie para analizar continuamente sus buckets de S3 en busca de datos confidenciales.

  6. Automatice las copias de seguridad seguras y cifradas de sus datos.

    1. AWS Backup es un servicio administrado que crea copias de seguridad de diferentes orígenes de datos en AWS.  La Recuperación de desastres elástica le permite copiar cargas de trabajo completas del servidor y mantener una protección de datos continua con un objetivo de punto de recuperación (RPO) medido en segundos.  Puede configurar ambos servicios para que funcionen en conjunto con el fin de automatizar la creación de copias de seguridad de datos y su almacenamiento en ubicaciones de conmutación por error.  Esto puede ayudar a mantener sus datos disponibles cuando se vean afectados por eventos operativos o de seguridad.

Recursos

Prácticas recomendadas relacionadas:

Documentos relacionados:

Ejemplos relacionados:

Herramientas relacionadas: