Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad, identidad y cumplimiento

AWS está diseñado para ser la infraestructura de nube global más segura en la que crear, migrar y administrar aplicaciones y cargas de trabajo.

Cada servicio se describe después del diagrama. Para ayudarle a decidir qué servicio se adapta mejor a sus necesidades, consulte Elegir AWS servicios de seguridad, identidad y gobierno. Para obtener información general, consulte Seguridad, identidad y conformidad en AWS.

Regresar aAWS servicios.

Amazon Cognito

Amazon Cognito le permite añadir el registro, el inicio de sesión y el control de acceso de los usuarios a sus aplicaciones web y móviles de forma rápida y sencilla. Con Amazon Cognito, puede ampliarse a millones de usuarios y admite el inicio de sesión con proveedores de identidad social como Apple, Facebook, Twitter o Amazon, con soluciones de identidad SAML 2.0 o mediante su propio sistema de identidad.

Además, Amazon Cognito le permite guardar datos de forma local en los dispositivos de los usuarios, lo que permite que sus aplicaciones funcionen incluso cuando los dispositivos están fuera de línea. A continuación, puede sincronizar los datos entre los dispositivos de los usuarios para que su experiencia con las aplicaciones siga siendo uniforme, independientemente del dispositivo que utilicen.

Con Amazon Cognito, puede centrarse en crear experiencias excelentes de uso de las aplicaciones en lugar de preocuparse de crear, proteger y escalar una solución que se ocupe de la administración y autenticación de los usuarios, y de la sincronización entre dispositivos.

Amazon Detective

Amazon Detective facilita el análisis, la investigación y la identificación rápida de la causa raíz de posibles problemas de seguridad o actividades sospechosas. Amazon Detective recopila automáticamente los datos de registro de su AWS utiliza recursos y utiliza el aprendizaje automático, el análisis estadístico y la teoría de grafos para crear un conjunto de datos enlazados que le permita llevar a cabo fácilmente investigaciones de seguridad más rápidas y eficientes. Amazon Detective simplifica aún más la administración de cuentas para las operaciones de seguridad y las investigaciones en todas las cuentas existentes y futuras de una organización mediante AWS Organizations para un máximo de 1200 AWS cuentas.

AWS servicios de seguridad como Amazon GuardDuty, Amazon Macie y AWS Security Hub, así como los productos de seguridad de nuestros socios, se pueden utilizar para identificar posibles problemas de seguridad o hallazgos. Estos servicios son realmente útiles para avisarle cuándo y dónde se produce un posible acceso no autorizado o un comportamiento sospechoso por su parte AWS despliegue. Sin embargo, a veces hay problemas de seguridad que le gustaría investigar más a fondo los eventos que los condujeron a los hallazgos para corregir la causa raíz. Determinar la causa raíz de los hallazgos de seguridad puede ser un proceso complejo para los analistas de seguridad, que a menudo implica recopilar y combinar registros de muchas fuentes de datos, utilizar herramientas de extracción, transformación y carga (ETL) y secuencias de comandos personalizadas para organizar los datos.

Amazon Detective simplifica este proceso al permitir a sus equipos de seguridad investigar con facilidad y llegar rápidamente a la causa raíz de un hallazgo. El Detective puede analizar billones de eventos de múltiples fuentes de datos, como Amazon Virtual Private Cloud (VPC) Flow Logs, AWS CloudTrail y Amazon GuardDuty. Detective utiliza estos eventos para crear automáticamente una vista unificada e interactiva de sus recursos, usuarios y las interacciones entre ellos a lo largo del tiempo. Con esta vista unificada, puede visualizar todos los detalles y el contexto en un solo lugar para identificar las razones subyacentes de los hallazgos, profundizar en las actividades históricas relevantes y determinar rápidamente la causa raíz.

Puedes empezar a utilizar Amazon Detective con tan solo unos clics en el AWS Management Console. No es necesario implementar ningún software ni habilitar ni mantener fuentes de datos. Puedes probar Detective sin coste adicional con una prueba gratuita de 30 días que está disponible para cuentas nuevas.

Amazon GuardDuty

Amazon GuardDuty es un servicio de detección de amenazas que monitorea continuamente la actividad maliciosa y el comportamiento anómalo para proteger sus Cuentas de AWS, cargas de trabajo, clústeres de Kubernetes y datos almacenados en Amazon Simple Storage Service (Amazon S3). El GuardDuty servicio monitorea cualquier actividad, como API llamadas inusuales, despliegues no autorizados y credenciales filtradas que indiquen la posibilidad de que la cuenta haya sido detectada o comprometida.

Se activa con unos pocos clics en el AWS Management Console y se administra fácilmente en toda la organización con el apoyo de AWS Organizations, Amazon GuardDuty puede empezar inmediatamente a analizar miles de millones de eventos en su AWS tiene en cuenta las señales de un uso no autorizado. GuardDuty identifica a los posibles atacantes mediante fuentes integradas de inteligencia sobre amenazas y la detección de anomalías mediante aprendizaje automático para detectar anomalías en la actividad de la cuenta y la carga de trabajo. Cuando se detecta un posible uso no autorizado, el servicio envía un hallazgo detallado a la GuardDuty consola, Amazon CloudWatch Events y AWS Security Hub. Esto hace que los hallazgos sean procesables y fáciles de integrar en los sistemas de flujo de trabajo y gestión de eventos existentes. Si se utiliza Amazon Detective directamente desde la GuardDuty consola, es fácil investigar más a fondo para determinar la causa raíz de un hallazgo.

Amazon GuardDuty es rentable y fácil de operar. No es necesario implementar ni mantener el software o la infraestructura de seguridad, lo que significa que se puede habilitar rápidamente sin riesgo de afectar negativamente a las cargas de trabajo existentes de las aplicaciones y los contenedores. No hay costes iniciales GuardDuty, no es necesario implementar software ni disponer de fuentes de inteligencia sobre amenazas. Además, GuardDuty optimiza los costes aplicando filtros inteligentes y analizando solo un subconjunto de registros relevantes para la detección de amenazas, y las nuevas GuardDuty cuentas de Amazon son gratuitas durante 30 días.

Amazon Inspector

Amazon Inspector es un nuevo servicio automatizado de gestión de vulnerabilidades que escanea continuamente AWS cargas de trabajo para detectar vulnerabilidades de software y exposiciones no deseadas de la red. Con unos pocos clics en el AWS Management Console y AWS Organizations, Amazon Inspector se puede utilizar en todas las cuentas de tu organización. Una vez iniciado, Amazon Inspector descubre automáticamente las instancias de Amazon Elastic Compute Cloud (AmazonEC2) en ejecución y las imágenes de contenedores que se encuentran en Amazon Elastic Container Registry (AmazonECR), a cualquier escala, e inmediatamente comienza a evaluarlas para detectar vulnerabilidades conocidas.

Amazon Inspector presenta muchas mejoras con respecto a Amazon Inspector Classic. Por ejemplo, el nuevo Amazon Inspector calcula una puntuación de riesgo altamente contextualizada para cada hallazgo al correlacionar la información sobre vulnerabilidades y exposiciones comunes (CVE) con factores como el acceso a la red y la explotabilidad. Esta puntuación se utiliza para priorizar las vulnerabilidades más críticas a fin de mejorar la eficiencia de la respuesta correctiva. Además, Amazon Inspector ahora utiliza el ampliamente implementado AWS Systems Manager Agente (SSMagente) para eliminar la necesidad de implementar y mantener un agente independiente para ejecutar las evaluaciones de EC2 instancias de Amazon. Para las cargas de trabajo de contenedores, Amazon Inspector ahora está integrado con Amazon Elastic Container Registry (AmazonECR) para permitir evaluaciones de vulnerabilidad inteligentes, rentables y continuas de las imágenes de contenedores. Todos los resultados se agrupan en la consola de Amazon Inspector y se dirigen a AWS Security Hub, e impulsó Amazon EventBridge para automatizar flujos de trabajo como la venta de entradas.

Todas las cuentas nuevas en Amazon Inspector pueden disfrutar de una prueba gratuita de 15 días para evaluar el servicio y estimar su coste. Durante la prueba, todas las EC2 instancias de Amazon aptas y las imágenes de contenedores enviadas a Amazon ECR se escanean continuamente sin coste alguno.

Amazon Macie

Amazon Macie es un servicio de seguridad y privacidad de datos totalmente gestionado que utiliza evaluaciones de inventario, aprendizaje automático y coincidencia de patrones para descubrir datos confidenciales y la accesibilidad en su entorno Amazon S3. Macie admite tareas de descubrimiento de datos confidenciales automatizadas y escalables, bajo demanda, que rastrean automáticamente los cambios en el depósito y solo evalúan los objetos nuevos o modificados a lo largo del tiempo. Con Macie, puede detectar una lista amplia y creciente de tipos de datos confidenciales en muchos países y regiones, que incluye varios tipos de datos financieros, información de salud personal (PHI) e información de identificación personal (PII), así como tipos personalizados. Macie también evalúa continuamente su entorno Amazon S3 para ofrecer un resumen de los recursos de S3 y una evaluación de la seguridad de todas sus cuentas. Puede buscar, filtrar y ordenar los depósitos de S3 por variables de metadatos, como los nombres de los cubos, las etiquetas y los controles de seguridad, como el estado del cifrado o la accesibilidad pública. Para cualquier depósito no cifrado, depósito de acceso público o depósito compartido con Cuentas de AWS fuera de los que ha definido en AWS Organizations, puedes recibir una alerta para que actúes.

En la configuración multicuenta, una sola cuenta de administrador de Macie puede gestionar todas las cuentas de los miembros, incluida la creación y administración de tareas de descubrimiento de datos confidenciales en todas las cuentas con AWS Organizations. Los resultados de descubrimiento de datos confidenciales y de seguridad se agregan a la cuenta de administrador de Macie y se envían a Amazon CloudWatch Events y AWS Security Hub. Ahora, con una sola cuenta, puede integrarla con los sistemas de gestión de eventos, flujo de trabajo y venta de entradas o utilizar los hallazgos de Macie con AWS Step Functions para automatizar las acciones de remediación. Puede empezar a utilizar Macie rápidamente con la versión de prueba de 30 días disponible para las nuevas cuentas para el inventario de paquetes de S3 y la evaluación a nivel de grupos sin coste alguno. El descubrimiento de datos confidenciales no está incluido en la versión de prueba de 30 días para la evaluación de los paquetes.

Amazon Security Lake

Amazon Security Lake centraliza los datos de seguridad de AWS entornos, proveedores de SaaS, locales y fuentes en la nube, en un lago de datos especialmente diseñado que se almacena en su Cuenta de AWS. Security Lake automatiza la recopilación y administración de datos de seguridad en todas las cuentas y Regiones de AWS para que pueda utilizar sus herramientas de análisis preferidas y, al mismo tiempo, conservar el control y la propiedad de sus datos de seguridad. Con Security Lake, también puede mejorar la protección de sus cargas de trabajo, aplicaciones y datos.

Security Lake automatiza la recopilación de datos de registros y eventos relacionados con la seguridad desde sistemas integrados AWS servicios y servicios de terceros. También le ayuda a gestionar el ciclo de vida de los datos con una configuración de retención personalizable. El lago de datos está respaldado por depósitos de Amazon S3 y usted conserva la propiedad de sus datos. Security Lake convierte los datos ingeridos al formato Apache Parquet y a un esquema estándar de código abierto denominado Open Cybersecurity Schema Framework (). OCSF Con OCSF soporte, Security Lake normaliza y combina los datos de seguridad de AWS y una amplia gama de fuentes de datos de seguridad empresarial.

Otro AWS los servicios y los servicios de terceros pueden suscribirse a los datos almacenados en Security Lake para responder a incidentes y analizar los datos de seguridad.

Amazon Verified Permissions

Amazon Verified Permissions es un servicio de autorización y administración de permisos escalable y detallado para las aplicaciones personalizadas que ha creado. Verified Permissions permite a sus desarrolladores crear aplicaciones seguras con mayor rapidez al externalizar la autorización y centralizar la gestión y la administración de las políticas.

Verified Permissions utiliza Cedar, un lenguaje de políticas de código abiertoSDK, para definir permisos detallados para los usuarios de la aplicación. Su modelo de autorización se define utilizando los tipos principales, los tipos de recursos y las acciones válidas, para controlar quién puede realizar qué acciones con qué recursos en un contexto de aplicación determinado. Los cambios en las políticas se auditan para que pueda ver quién los realizó y cuándo.

AWS Artifact

AWS Artifactes su recurso central y de referencia para obtener la información relacionada con el cumplimiento que le interesa. Proporciona acceso bajo demanda a AWS informes de seguridad y cumplimiento y acuerdos en línea selectos. Los informes están disponibles en AWS Artifact incluyen nuestros informes de control organizativo de servicios (SOC), informes del sector de tarjetas de pago (PCI) y certificaciones de organismos de acreditación de diferentes geografías y mercados verticales de cumplimiento que validan la implementación y la eficacia operativa de AWS controles de seguridad. Acuerdos disponibles en AWS Artifact incluyen el apéndice para socios comerciales (BAA) y el acuerdo de confidencialidad (). NDA

AWS Audit Manager

AWS Audit Managerle ayuda a auditar continuamente su AWS uso para simplificar la forma de evaluar el riesgo y el cumplimiento de las normas y estándares del sector. Audit Manager automatiza la recopilación de pruebas para reducir el esfuerzo manual «práctico» que suele realizarse en las auditorías y le permite ampliar su capacidad de auditoría en la nube a medida que su empresa crece. Con Audit Manager, es fácil evaluar si sus políticas, procedimientos y actividades (también conocidos como controles) funcionan de manera eficaz. Cuando llegue el momento de realizar una auditoría, AWS Audit Manager le ayuda a gestionar las revisiones de sus controles por parte de las partes interesadas y le permite crear informes listos para la auditoría con mucho menos esfuerzo manual.

La AWS Audit Manager Los marcos prediseñados ayudan a traducir la evidencia de los servicios en la nube en informes fáciles de usar para los auditores al mapear sus AWS recursos para cumplir con los requisitos de las normas o reglamentos del sector, como CIS AWS Foundations Benchmark, el Reglamento general de protección de datos (GDPR) y el estándar de seguridad de datos del sector de las tarjetas de pago (). PCI DSS También puede personalizar completamente un marco y sus controles para adaptarlo a las necesidades específicas de su empresa. Según el marco que seleccione, Audit Manager lanza una evaluación que recopila y organiza continuamente las pruebas relevantes de sus AWS cuentas y recursos, como las instantáneas de la configuración de los recursos, la actividad de los usuarios y los resultados de las comprobaciones de conformidad.

Puede empezar rápidamente en el AWS Management Console. Solo tiene que seleccionar un marco prediseñado para iniciar una evaluación y empezar a recopilar y organizar automáticamente las pruebas.

AWS Certificate Manager

AWS Certificate Manageres un servicio que permite aprovisionar, gestionar e implementar fácilmente los certificados Secure Sockets Layer/Transport Layer Security (SSL/TLS) para usarlos con AWS sus servicios y sus recursos internos conectados. SSL/TLSlos certificados se utilizan para proteger las comunicaciones de red y establecer la identidad de los sitios web a través de Internet, así como de los recursos de las redes privadas. AWS Certificate Manager elimina el lento proceso manual de compra, carga y renovación de los certificados/. SSL TLS

¿Con AWS Certificate Manager, puede solicitar rápidamente un certificado e implementarlo en ACM -integrated AWS recursos, como Elastic Load Balancing, CloudFront distribuciones de Amazon y APIs on API Gateway, y dejar AWS Certificate Manager gestionar las renovaciones de certificados. También le permite crear certificados privados para sus recursos internos y gestionar el ciclo de vida de los certificados de forma centralizada. Certificados públicos y privados aprovisionados mediante AWS Certificate Manager para su uso con los servicios ACM integrados son gratuitos. Solo pagas por el AWS los recursos que cree para ejecutar su aplicación.

Con AWS Private Certificate Authority, paga mensualmente por el funcionamiento de la entidad emisora de certificados (CA) privada y por los certificados privados que emite. Dispone de un servicio de CA privada de alta disponibilidad sin la inversión inicial ni los costes de mantenimiento continuos que supone gestionar su propia entidad de certificación privada.

AWS CloudHSM

Con la AWS CloudHSMes un módulo de seguridad de hardware basado en la nube (HSM) que le permite generar y utilizar fácilmente sus propias claves de cifrado en el Nube de AWS. Con AWS CloudHSM, puede gestionar sus propias claves de cifrado mediante una validación HSMs específica FIPS 140-2 de nivel 3. AWS CloudHSM le ofrece la flexibilidad de integrarse con sus aplicaciones mediante las bibliotecas estándar del sectorAPIs, como las bibliotecas PKCS #11, Java Cryptography Extensions (JCE) y Microsoft CryptoNG (). CNG

AWS CloudHSM cumple con los estándares y le permite exportar todas sus claves a la mayoría de las demás claves disponibles en el mercado, en función de sus configuraciones. HSMs Se trata de un servicio totalmente gestionado que automatiza las tediosas tareas administrativas, como el aprovisionamiento de hardware, la aplicación de parches de software, la alta disponibilidad y las copias de seguridad. AWS CloudHSM también le permite escalar rápidamente al añadir y eliminar HSM capacidad bajo demanda, sin costes iniciales.

AWS Directory Service

AWS Directory Servicepara Microsoft Active Directory, también conocido como AWS Managed Microsoft AD, permite que sus cargas de trabajo y AWS recursos compatibles con directorios utilicen Active Directory administrado en el Nube de AWS. AWS Managed Microsoft AD se basa en Microsoft Active Directory real y no requiere que sincronice o replique los datos de su Active Directory existente en la nube. Puede utilizar las herramientas de administración estándar de Active Directory y aprovechar las funciones integradas de Active Directory, como la política de grupo y el inicio de sesión único (). SSO Con AWS Managed Microsoft AD, puede unir fácilmente instancias de Amazon EC2 y Amazon RDS for SQL Server a un dominio y utilizar aplicaciones de TI AWS empresariales como Amazon WorkSpaces con usuarios y grupos de Active Directory.

AWS Firewall Manager

AWS Firewall Manageres un servicio de gestión de la seguridad que le permite configurar y gestionar de forma centralizada las reglas de firewall en todas sus cuentas y aplicaciones en AWS Organizations. A medida que se crean nuevas aplicaciones, Firewall Manager facilita el cumplimiento de las nuevas aplicaciones y recursos mediante la aplicación de un conjunto común de reglas de seguridad. Ahora dispone de un único servicio para crear reglas de firewall, crear políticas de seguridad y aplicarlas de manera coherente y jerárquica en toda su infraestructura, desde una cuenta de administrador central.

AWS Identity and Access Management

AWS Identity and Access Management(IAM) le permite controlar de forma segura el acceso a AWS servicios y recursos para su AWS usuarios, grupos y roles. Con IAM él, puede crear y administrar controles de acceso detallados con permisos, especificar quién puede acceder a qué servicios y recursos y en qué condiciones. IAMle permite hacer lo siguiente:

AWS Key Management Service

AWS Key Management Service (AWS KMS) le facilita la creación y la administración de claves criptográficas y el control de su uso en una amplia gama de AWS servicios y en sus aplicaciones. AWS KMS utiliza módulos de seguridad de hardware (HSM) para proteger y validar sus AWS KMS claves del programa de validación de módulos criptográficos FIPS 140-2. AWS KMS está integrado con AWS CloudTrail para proporcionarle registros de todo el uso de las claves a fin de satisfacer sus necesidades normativas y de cumplimiento.

AWS Network Firewall

AWS Network Firewalles un servicio gestionado que facilita la implementación de protecciones de red esenciales para todas sus Amazon Virtual Private Clouds (VPCs). El servicio se puede configurar con solo unos clics y se escala automáticamente en función del tráfico de la red, por lo que no tiene que preocuparse por implementar y administrar ninguna infraestructura. El motor de reglas flexible de AWS Network Firewall le permite definir reglas de firewall que le brindan un control detallado del tráfico de la red, como bloquear las solicitudes salientes de Bloque de mensajes del servidor (SMB) para evitar la propagación de actividades maliciosas. También puede importar reglas que ya haya redactado en los formatos de reglas habituales de código abierto, así como habilitar las integraciones con fuentes de inteligencia gestionadas procedentes de AWS Socios. AWS Network Firewall trabaja junto con AWS Firewall Manager para que pueda crear políticas basadas en AWS Network Firewall reglas y, luego, aplicar esas políticas de forma centralizada en sus cuentas VPCs y en todas sus cuentas.

AWS Network Firewall incluye funciones que proporcionan protección contra las amenazas de red más comunes. La AWS Network Firewall El firewall con estado puede incorporar el contexto de los flujos de tráfico, como el seguimiento de las conexiones y la identificación de protocolos, para aplicar políticas como impedir el acceso a los dominios mediante un protocolo no autorizado. VPCs La AWS Network Firewall El sistema de prevención de intrusiones (IPS) proporciona una inspección activa del flujo de tráfico para que pueda identificar y bloquear las vulnerabilidades mediante la detección basada en firmas. AWS Network Firewall también ofrece un filtrado web que puede detener el tráfico a nombres de dominio conocidos como incorrectos URLs y monitorear nombres de dominio totalmente cualificados.

Empezar con él es fácil AWS Network Firewall visitando Amazon VPC Console para crear o importar tus reglas de firewall, agruparlas en políticas y aplicarlas a VPCs lo que quieras proteger. AWS Network Firewall el precio se basa en la cantidad de firewalls desplegados y en la cantidad de tráfico inspeccionado. No hay compromisos por adelantado y solo pagas por lo que utilizas.

AWS Resource Access Manager

AWS Resource Access Manager (AWS RAM) le ayuda a compartir de forma segura sus recursos entre AWS cuentas, dentro de su organización o unidades organizativas (OUs) en AWS Organizations y con IAM roles y IAM usuarios para los tipos de recursos compatibles. Puede usar… AWS RAM para compartir pasarelas de tránsito, subredes, AWS License Manager configuraciones de licencias, reglas de Amazon Route 53 Resolver y más tipos de recursos.

Muchas organizaciones utilizan varias cuentas para crear un aislamiento administrativo o de facturación y limitar el impacto de los errores. ¿Con AWS RAM, no es necesario crear recursos duplicados en varios AWS cuentas. Esto reduce la sobrecarga operativa que implica administrar los recursos en todas las cuentas que poseas. En su lugar, en su entorno de múltiples cuentas, puede crear un recurso una vez y usarlo AWS RAM para compartir ese recurso entre cuentas mediante la creación de un recurso compartido. Al crear un recurso compartido, selecciona los recursos que desea compartir y elige un AWS RAM administre un permiso por tipo de recurso y especifique quién desea que tenga acceso a los recursos. AWS RAM está disponible sin coste adicional.

AWS Secrets Manager

AWS Secrets Manager le ayuda a proteger los secretos necesarios para acceder a sus aplicaciones, servicios y recursos de TI. El servicio le permite rotar, gestionar y recuperar fácilmente las credenciales, API claves y otros datos secretos de las bases de datos a lo largo de su ciclo de vida. Los usuarios y las aplicaciones recuperan los secretos con un toSecrets administrador de llamadasAPIs, lo que elimina la necesidad de codificar la información confidencial en texto plano. Secrets Manager ofrece la rotación de secretos con una integración integrada para AmazonRDS, Amazon Redshift y Amazon DocumentDB. El servicio también se puede extender a otros tipos de secretos, incluidas API claves y tokens. OAuth Además, Secrets Manager le permite controlar el acceso a los secretos mediante permisos detallados y auditar la rotación de secretos de forma centralizada para los recursos del Nube de AWS, servicios de terceros y locales.

AWS Security Hub

AWS Security Hubes un servicio de gestión de la postura de seguridad en la nube que realiza comprobaciones automatizadas y continuas de las mejores prácticas de seguridad con respecto a sus AWS recursos. Security Hub agrega sus alertas de seguridad (es decir, hallazgos) de varios AWS los servicios y los productos de los socios en un formato estandarizado para que pueda tomar medidas al respecto con mayor facilidad. Para tener una visión completa de su postura de seguridad en AWS, necesita integrar varias herramientas y servicios, incluidas las detecciones de amenazas de Amazon, las vulnerabilidades de Amazon Inspector GuardDuty, las clasificaciones de datos confidenciales de Amazon Macie y los problemas de configuración de los recursos de AWS Config, y AWS Partner Network productos. Security Hub simplifica la forma en que comprende y mejora su postura de seguridad con comprobaciones automatizadas de las mejores prácticas de seguridad impulsadas por AWS Config reglas e integraciones automatizadas con docenas de AWS servicios y productos de socios.

Security Hub le permite comprender su postura de seguridad general a través de una puntuación de seguridad consolidada en todos sus AWS cuentas, evalúa automáticamente la seguridad de sus AWS recursos de cuentas a través del AWS El estándar fundamental de mejores prácticas de seguridad (FSBP) y otros marcos de cumplimiento. También agrupa todos sus hallazgos de seguridad de docenas de AWS servicios y APN productos de seguridad en un solo lugar y formato a través del AWS Security Finding Format (ASFF) y reduce el tiempo medio de remediación (MTTR) con una respuesta automática y un soporte de remediación. Security Hub tiene out-of-the-box integraciones con herramientas de venta de entradas, chat, información de seguridad y gestión de eventos (SIEM), automatización y respuesta de la orquestación de seguridad (SOAR), investigación de amenazas, gobernanza, riesgo y cumplimiento (GRC) y gestión de incidentes para ofrecer a sus usuarios un flujo de trabajo de operaciones de seguridad completo.

Para empezar a utilizar Security Hub, basta con unos pocos clics desde el AWS Management Console para empezar a recopilar datos y a realizar comprobaciones de seguridad con nuestra versión de prueba gratuita de 30 días. Puede integrar Security Hub con AWS Organizations para habilitar automáticamente el servicio en todas las cuentas de su organización.

AWS Shield

AWS Shieldes un servicio de protección gestionado contra la denegación de servicio distribuido (DDoS) que protege las aplicaciones web que se ejecutan en AWS. AWS Shield le proporciona una detección permanente y mitigaciones automáticas en línea que minimizan el tiempo de inactividad y la latencia de las aplicaciones, por lo que no es necesario recurrir a ellas AWS Support para beneficiarse de la protección. DDoS Hay dos niveles de AWS Shield: Estándar y Avanzado.

Todos AWS los clientes se benefician de las protecciones automáticas de AWS Shield Estándar, sin cargo adicional. AWS Shield Standard protege contra los DDoS ataques más comunes y frecuentes a la capa de transporte y que tienen como objetivo su sitio web o sus aplicaciones. Cuando usas AWS Shield Standard con Amazon CloudFront y Amazon Route 53, recibirá una protección integral de la disponibilidad contra todos los ataques conocidos a la infraestructura (capa 3 y 4).

Para obtener niveles más altos de protección contra los ataques dirigidos a las aplicaciones que se ejecutan en los recursos de Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing (ELB) CloudFront, Amazon y Amazon Route 53, puedes suscribirte a AWS Shield Advanced. Además de las protecciones de las capas de red y transporte que vienen con Standard, AWS Shield La tecnología avanzada ofrece detección y mitigación adicionales contra DDoS ataques grandes y sofisticados, visibilidad de los ataques prácticamente en tiempo real e integración con AWS WAF, un firewall de aplicaciones web. AWS Shield Advanced también le brinda acceso las 24 horas del día, los 7 días de la semana al equipo de AWS DDoS respuesta (DRT) y protección contra los picos DDoS relacionados en sus cargos de Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing ()ELB, Amazon CloudFront y Amazon Route 53.

AWS Shield Advanced está disponible en todo el mundo en todas las ubicaciones perimetrales de Amazon CloudFront y Amazon Route 53. Puede proteger sus aplicaciones web alojadas en cualquier parte del mundo si despliega Amazon CloudFront delante de su aplicación. Sus servidores de origen pueden ser Amazon S3, Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing (ELB) o un servidor personalizado ajeno a AWS. También puedes activar AWS Shield Avanzó directamente en una Elastic IP o Elastic Load Balancing (ELB) de la siguiente manera Regiones de AWS: Virginia del Norte, Ohio, Oregón, Norte de California, Montreal, São Paulo, Irlanda, Fráncfort, Londres, París, Estocolmo, Singapur, Tokio, Sídney, Seúl, Bombay, Milán y Ciudad del Cabo.

AWS IAM Identity Center

AWS IAM Identity Center(SSO) es un SSO servicio en la nube que facilita la gestión centralizada del SSO acceso a múltiples AWS cuentas y aplicaciones empresariales. Con solo unos pocos clics, puede habilitar un SSO servicio de alta disponibilidad sin la inversión inicial ni los costos de mantenimiento continuos que implica operar su propia SSO infraestructura. Con IAM Identity Center, puede administrar fácilmente el SSO acceso y los permisos de usuario a todas sus cuentas en AWS Organizationscentralmente. IAMIdentity Center también incluye SAML integraciones integradas para muchas aplicaciones empresariales, como Salesforce, Box y Microsoft Office 365. Además, mediante el asistente de configuración de aplicaciones de IAM Identity Center, puede crear integraciones con Security Assertion Markup Language (SAML) 2.0 y ampliar el SSO acceso a cualquiera de sus aplicaciones habilitadas. SAML Los usuarios solo tienen que iniciar sesión en un portal de usuario con las credenciales que hayan configurado en IAM Identity Center o utilizar sus credenciales corporativas existentes para acceder a todas las cuentas y aplicaciones asignadas desde un solo lugar.

AWS WAF

AWS WAFes un firewall de aplicaciones web que ayuda a proteger sus aplicaciones web o APIs contra las vulnerabilidades y los bots más comunes que pueden afectar a la disponibilidad, comprometer la seguridad o consumir recursos excesivos. AWS WAF le permite controlar la forma en que el tráfico llega a sus aplicaciones, ya que le permite crear reglas de seguridad que controlan el tráfico de bots y bloquean los patrones de ataque más comunes, como las SQL inyecciones o las secuencias de comandos entre sitios. También puede personalizar las reglas que filtran patrones de tráfico específicos. Puede empezar rápidamente a utilizar Managed Rules para AWS WAF, un conjunto preconfigurado de reglas gestionado por AWS o AWS Marketplace vendedores para abordar cuestiones como los 10 OWASP principales riesgos de seguridad y los bots automatizados que consumen recursos excesivos, distorsionan las métricas o pueden provocar tiempos de inactividad. Estas normas se actualizan periódicamente a medida que surgen nuevos problemas. AWS WAF incluye todas las funciones API que puede utilizar para automatizar la creación, el despliegue y el mantenimiento de las reglas de seguridad.

AWS WAF Captcha

AWSWAFCaptcha ayuda a bloquear el tráfico de bots no deseado al requerir que los usuarios completen correctamente los desafíos antes de permitir que llegue su solicitud web AWS WAF recursos protegidos. Puede configurar AWS WAF reglas que obligan a resolver los desafíos de WAF Captcha para recursos específicos a los que suelen atacar los bots, como el inicio de sesión, la búsqueda y el envío de formularios. También puedes solicitar el uso de WAF Captcha para solicitudes sospechosas en función de la frecuencia, los atributos o las etiquetas generadas a partir de Reglas administradas de AWS, como, por ejemplo, AWS WAF Bot Control o la lista de reputación IP de Amazon. WAFLos desafíos de Captcha son simples para los humanos y, al mismo tiempo, efectivos contra los bots. WAFEl Captcha incluye una versión en audio y está diseñado para cumplir con los requisitos de accesibilidad de las Pautas de Accesibilidad al Contenido Web (). WCAG

Regresar a. AWS servicios