SEC 1: ¿Cómo opera su carga de trabajo de manera segura?
A fin de operar la carga de trabajo de forma segura, debe aplicar prácticas recomendadas generales en todas las áreas de la seguridad. Tome los requisitos y los procesos que ha definido en la excelencia operativa a nivel de la organización y carga de trabajo y aplíquelos en todas las áreas. Mantenerse al día con las recomendaciones del sector y AWS y la inteligencia de amenazas facilita la evolución del modelo de amenazas y los objetivos de control. La automatización de los procesos de seguridad, las pruebas y la validación permiten escalar las operaciones de seguridad.
Recursos
Security Best Practices the Well-Architected Way
Managing Multi-Account AWS Environments Using AWS Organizations
Enable AWS adoption at scale with automation and governance
AWS Security Hub: Manage Security Alerts and Automate Compliance
Using AWS Control Tower to Govern Multi-Account AWS Environments
IAM Best Practices
Getting started with AWS Organizations
AWS Control Tower
Security Bulletins
AWS Security Audit Guidelines
How to use service control policies to set permission guardrails across accounts in
your AWS Organization
Prácticas recomendadas:
-
Separe las cargas de trabajo mediante el uso de cuentas: Organice las cargas de trabajo en cuentas individuales y en cuentas de grupos según la función o en un conjunto común de controles en lugar de imitar la estructura de informes de su empresa. Comience teniendo en cuenta la seguridad y la infraestructura para permitirle a su organización establecer medidas de seguridad a medida que crezcan las cargas de trabajo.
-
Proteja la cuenta de AWS: Proteja el acceso a las cuentas mediante, por ejemplo, la habilitación de MFA y del uso restringido del usuario raíz, y configure los contactos de la cuenta.
-
Identifique y valide los objetivos de control: Obtenga y valide los objetivos de control y los controles que necesita aplicar a la carga de trabajo en función de los requisitos de conformidad y los riesgos identificados en el modelo de amenazas. La validación constante de los objetivos de control y los controles facilitan la medición de la efectividad de la mitigación de riesgos.
-
Manténgase al día con las amenazas de seguridad: Reconozca los vectores de ataque. Para ello, manténgase al día con las amenazas de seguridad más recientes para facilitar la definición e implementación de los controles apropiados.
-
Manténgase al día con las recomendaciones de seguridad: Manténgase al día tanto con las recomendaciones seguridad del sector y de AWS a fin de desarrollar la posición de seguridad de la carga de trabajo.
-
Automatice las pruebas y validación de los controles de seguridad en canalizaciones: Establezca plantillas y puntos de referencia seguros para los mecanismos de seguridad que sean probados y validados como parte de la creación, las canalizaciones y los procesos. Utilice herramientas y la automatización para probar y validar todos los controles de seguridad de forma continua. Por ejemplo, analice elementos como las imágenes de máquinas y la infraestructura, como plantillas de código para detectar vulnerabilidades de seguridad, irregularidades y desviaciones con respecto al punto de referencia establecido en cada etapa.
-
Identifique y priorice riesgos mediante un modelo de amenazas: Utilice un modelo de amenazas para identificar y mantener un registro actualizado de posibles amenazas. Priorice las amenazas y adapte los controles de seguridad a fin de prevenir, detectar y responder. Revise y mantenga esto en el contexto del panorama de seguridad en evolución.
-
Evalúe e implemente características y servicios de seguridad regularmente: Los socios de AWS y APN lanzan nuevas características y servicios de manera constante que le permiten desarrollar la postura de seguridad de la carga de trabajo.
Plan de mejora
Separe las cargas de trabajo mediante el uso de cuentas
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization
AWS Control Tower
Proteja la cuenta de AWS
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization
AWS Tasks That Require AWS Account Root User Credentials
Lab: AWS account and root user
Root user
Changing the AWS account root user password
How to receive notifications when your AWS account's root access keys are used
Setting permissions to enable accounts for upcoming AWS Regions
Use CloudFormation StackSets
Identifique y valide los objetivos de control
https://aws.amazon.com/compliance/
https://aws.amazon.com/artifact/
Manténgase al día con las amenazas de seguridad
Common Vulnerabilities and Exposures List
AWS Shield
Manténgase al día con las recomendaciones de seguridad
AWS Well-Architected Labs
AWS security blog
AWS service documentation
Example: Common Vulnerabilities and Exposures List
Automatice las pruebas y validación de los controles de seguridad en canalizaciones
AWS Systems Manager
AWS CloudFormation
Set Up a CI/CD Pipeline on AWS
Identifique y priorice riesgos mediante un modelo de amenazas
NIST: Guide to Data-Centric System Threat Modeling
Evalúe e implemente características y servicios de seguridad regularmente
AWS security blog
AWS security bulletins
AWS service documentation
Remediating non-compliant AWS resources by AWS Config Rules