SEC 6: ¿Cómo protege los recursos informáticos?

Los recursos informáticos de la carga de trabajo requieren varios niveles de defensa para facilitar la protección contra las amenazas internas y externas. Los recursos informáticos incluyen instancias de EC2, contenedores, funciones de AWS Lambda, servicios de base de datos, dispositivos de IoT y más.

Recursos

Securing Serverless and Container Services
Running high-security workloads on Amazon EKS
Security best practices for the Amazon EC2 instance metadata service
AWS Systems Manager
Replacing a Bastion Host with Amazon EC2 Systems Manager
Security Overview of AWS Lambda
Lab: Automated Deployment of Web Application Firewall

Prácticas recomendadas:

• Administre las vulnerabilidades: Analice y aplique parches con frecuencia para detectar las vulnerabilidades del código, las dependencias y la infraestructura a fin de facilitar la protección contra nuevas amenazas.

• Reduzca la superficie expuesta a ataques: Reduzca la superficie expuesta a ataques mediante el refuerzo de los sistemas operativos, al minimizar los componentes, las bibliotecas y los servicios consumibles externos en uso.

• Implemente servicios administrados: Implemente servicios que administren los recursos, como Amazon RDS, AWS Lambda y Amazon ECS, a fin de reducir las tareas de mantenimiento de la seguridad en el marco del modelo de responsabilidad compartida.

• Automatice la protección informática: Automatice los mecanismos informáticos de protección, incluida la administración de vulnerabilidades, la reducción de la superficie expuesta a ataques y la administración de recursos.

• Permita que las personas realicen acciones a distancia: Eliminar la capacidad de acceso interactivo reduce el riesgo de error humano y las posibilidades de configuración o administración manual. Por ejemplo, utilice un flujo de trabajo de administración de cambios para implementar las instancias de EC2 mediante el uso de infraestructura como código. Luego administre las instancias de EC2 mediante herramientas en lugar de permitir el acceso directo o un alojamiento bastión.

• Valide la integridad del software: Implemente mecanismos (por ejemplo, la firma de código) para validar que el software, el código y las bibliotecas que se utilizan en la carga de trabajo provienen de fuentes confiables y no han sido manipulados.

Plan de mejora

Administre las vulnerabilidades

Configure Amazon Inspector: Amazon Inspector prueba la accesibilidad a la red de sus instancias de Amazon EC2 y el estado de seguridad de las aplicaciones que se ejecutan en ellas. Amazon Inspector evalúa las aplicaciones en busca de exposición, vulnerabilidades y desviaciones en relación con las prácticas recomendadas.
What is Amazon Inspector?

Escanee el código fuente: Escanee las bibliotecas y dependencias en busca de vulnerabilidades.
Amazon CodeGuru
OWASP: Source Code Analysis Tools

Reduzca la superficie expuesta a ataques

Refuerce los sistemas operativos: Configure los sistemas operativos en función de las prácticas recomendadas.
Securing Amazon Linux
Securing Microsoft Windows Server

Refuerce los recursos en contenedores: Configure los recursos en contenedores en función de las prácticas recomendadas.

Prácticas recomendadas de AWS Lambda: Implemente las prácticas recomendadas de AWS Lambda
AWS Lambda best practices

Implemente servicios administrados

Explore los servicios disponibles: Explore, pruebe e implemente servicios que administren los recursos, como Amazon RDS, AWS Lambda y Amazon ECS.
AWS Home

Automatice la protección informática

Automatice la administración de la configuración: Haga cumplir y valide las configuraciones seguras de manera automática con una herramienta o servicio de administración de configuración.
AWS Systems Manager
AWS CloudFormation
Lab: Automated deployment of VPC
Lab: Automated deployment of EC2 web application

Automatice la aplicación de parches a las instancias EC2: AWS Systems Manager Patch Manager automatiza el proceso de aplicación de parches a las instancias administradas, tanto con actualizaciones relacionadas con la seguridad como con otros tipos. Puede usar Patch Manager para aplicar parches tanto para los sistemas operativos como para las aplicaciones.
AWS Systems Manager Patch Manager
Centralized multi-account and multi-region patching with AWS Systems Manager Automation

Implemente la detección y prevención de intrusiones: Implemente una herramienta de detección y prevención de intrusiones para monitorear y detener la actividad maliciosa en las instancias.

Considere las soluciones de los socios de APN: Los socios de APN ofrecen cientos de productos líderes en la industria que son equivalentes, idénticos o se integran a los controles existentes de sus entornos en las instalaciones. Estos productos complementan los servicios existentes de AWS para permitirle implementar una arquitectura de seguridad integral y una mejor experiencia en sus entornos en la nube y en las instalaciones.
Infrastructure security

Permita que las personas realicen acciones a distancia

Reemplace el acceso a consola: Reemplace el acceso a consola (SSH o RDP) a las instancias con AWS Systems Manager Run Command para automatizar las tareas de administración.
AWS Systems Manager Run Command

Valide la integridad del software

Investigue los mecanismos: La firma de código es un mecanismo que puede utilizarse para validar la integridad del software.
NIST: Security Considerations for Code Signing