Este contenido está desactualizado. Esta versión de Well-Architected Framework se encuentra ahora en: https://docs.aws.amazon.com/es_es/wellarchitected/2022-03-31/framework/security.html

SEC 1: ¿Cómo opera su carga de trabajo de manera segura?

A fin de operar la carga de trabajo de forma segura, debe aplicar prácticas recomendadas generales en todas las áreas de la seguridad. Tome los requisitos y los procesos que ha definido en la excelencia operativa a nivel de la organización y carga de trabajo y aplíquelos en todas las áreas. Mantenerse al día con las recomendaciones del sector y AWS y la inteligencia de amenazas facilita la evolución del modelo de amenazas y los objetivos de control. La automatización de los procesos de seguridad, las pruebas y la validación permiten escalar las operaciones de seguridad.

Recursos

Security Best Practices the Well-Architected Way
Managing Multi-Account AWS Environments Using AWS Organizations
Enable AWS adoption at scale with automation and governance
AWS Security Hub: Manage Security Alerts and Automate Compliance
Using AWS Control Tower to Govern Multi-Account AWS Environments
IAM Best Practices
Getting started with AWS Organizations
AWS Control Tower
Security Bulletins
AWS Security Audit Guidelines
How to use service control policies to set permission guardrails across accounts in your AWS Organization

Prácticas recomendadas:

Plan de mejora

Separe las cargas de trabajo mediante el uso de cuentas

  • Utilice AWS Organizations: Utilice AWS Organizations para hacer cumplir centralmente la administración en función de las políticas para múltiples cuentas de AWS.
    Getting started with AWS Organizations
    How to use service control policies to set permission guardrails across accounts in your AWS Organization
  • Tenga en cuenta AWS Control Tower: AWS Control Tower ofrece una forma sencilla de configurar y regular un entorno de AWS de múltiples cuentas, seguro y nuevo en función de las prácticas recomendadas.
    AWS Control Tower
  • Proteja la cuenta de AWS

  • Utilice AWS Organizations: Utilice AWS Organizations para hacer cumplir centralmente la administración en función de las políticas para múltiples cuentas de AWS.
    Getting started with AWS Organizations
    How to use service control policies to set permission guardrails across accounts in your AWS Organization
  • Limite la utilización del usuario raíz de AWS: Sólo utilice el usuario raíz para llevar a cabo tareas que lo requieren específicamente.
    AWS Tasks That Require AWS Account Root User Credentials
  • Habilite MFA para el usuario raíz: Habilite MFA en el usuario raíz de la cuenta de AWS, si es que AWS Organizations no administra a los usuarios raíz por usted.
    Lab: AWS account and root user
    Root user
  • Cambie la contraseña del usuario raíz de manera periódica: Al cambiar la contraseña de usuario raíz reduce el riesgo de que se pueda utilizar una contraseña guardada. Esto es especialmente importante si no utiliza AWS Organizations y cualquier usuario tiene acceso físico.
    Changing the AWS account root user password
  • Permita la notificación cuando se utiliza el usuario raíz de la cuenta de AWS: Al ser notificado de manera automática reduce el riesgo.
    How to receive notifications when your AWS account's root access keys are used
  • Limite el acceso a regiones recientemente agregadas.: Para las regiones de AWS nuevas, los recursos de IAM, como usuarios y roles, solo se propagarán a las regiones que usted habilite.
    Setting permissions to enable accounts for upcoming AWS Regions
  • Tenga en cuenta CloudFormation StackSets: Los conjuntos de pilas de CloudFormation se pueden utilizar para implementar recursos, incluidos las políticas IAM, los roles y los grupos en diferentes cuentas y regiones de AWS desde una plantilla aprobada.
    Use CloudFormation StackSets
  • Identifique y valide los objetivos de control

  • Identifique los requerimientos de conformidad: Descubra los requisitos de conformidad, legales y organizativos con los que su carga de trabajo deben cumplir.
  • Identifique los recursos de conformidad de AWS: Identifique los recursos que AWS dispone para ayudarlo con la conformidad.
    https://aws.amazon.com/compliance/
    https://aws.amazon.com/artifact/
  • Manténgase al día con las amenazas de seguridad

  • Suscríbase a las fuentes de inteligencia de amenazas: Revise de manera regular la información de inteligencia de amenazas de múltiples fuentes relevantes para las tecnologías utilizadas en la carga de trabajo.
    Common Vulnerabilities and Exposures List
  • Tenga en cuenta los servicios avanzados de AWS Shield: Ofrece visibilidad casi en tiempo real de las fuentes de inteligencia si la carga de trabajo es accesible en Internet.
    AWS Shield
  • Manténgase al día con las recomendaciones de seguridad

  • Siga las actualizaciones de AWS: Suscríbase o verifique de manera regular las recomendaciones, consejos y trucos nuevos.
    AWS Well-Architected Labs
    AWS security blog
    AWS service documentation
  • Suscríbase a las noticias del sector: Revise de manera regular los canales de noticias de múltiples fuentes relevantes para las tecnologías utilizadas en la carga de trabajo.
    Example: Common Vulnerabilities and Exposures List
  • Automatice las pruebas y validación de los controles de seguridad en canalizaciones

  • Automatice la administración de la configuración: Haga cumplir y valide las configuraciones seguras de manera automática con una herramienta o servicio de administración de configuración.
    AWS Systems Manager
    AWS CloudFormation
    Set Up a CI/CD Pipeline on AWS
  • Identifique y priorice riesgos mediante un modelo de amenazas

  • Cree un modelo de amenaza: Un modelo de amenaza puede ayudarlo a identificar y abordar amenazas de seguridad posibles.
    NIST: Guide to Data-Centric System Threat Modeling
  • Evalúe e implemente características y servicios de seguridad regularmente

  • Planifique revisiones regulares: Cree un calendario de actividades de revisión que incluyan los requisitos de conformidad, la evaluación de características y servicios de seguridad de AWS nuevas y las actualizaciones con las noticias del sector.
  • Descubra servicios y características de AWS: Descubra las características de seguridad disponibles para los servicios que utiliza y revise las nuevas características a medida que se lanzan.
    AWS security blog
    AWS security bulletins
    AWS service documentation
  • Defina el proceso de integración del servicio de AWS: Defina los procesos para servicios de AWS nuevos de integración. Incluya de qué manera evalúa los servicios de AWS nuevos por funcionalidad y los requisitos de conformidad para la carga de trabajo.
  • Evalúe los servicios y características nuevos: Evalúe los servicios y características nuevos ya que son lanzados en un entorno que no es de producción que replica en gran medida su producción.
  • Implemente otros mecanismos de defensa: Implemente mecanismos automatizados para defender la carga de trabajo, explore las opciones disponibles.
    Remediating non-compliant AWS resources by AWS Config Rules