Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración de la seguridad
La administración de la seguridad de AWS Managed Services (AMS) es el proceso mediante el cual AMS identifica los activos de una organización e implementa políticas y procedimientos para protegerlos.
**nota**
Ahora, AMS dispone de un tipo de cambio (CT): Implementación \$1 Componentes de pila avanzados \$1 Certificado ACM y, además, SANs \$1 Create (ct-3l14e139i5p50), que puede utilizar para enviar una solicitud de certificado. AWS Certificate Manager Para obtener información, consulte [AWS::CertificateManager::Certificate](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-certificatemanager-certificate.html). Este CT prevé la creación de un nombre alternativo (SAN) adicional para el sujeto.
Para comprender mejor la AWS seguridad general, consulte [las prácticas recomendadas en materia de seguridad, identidad y conformidad](https://aws.amazon.com/architecture/security-identity-compliance/).
AMS clasifica los riesgos de seguridad de la siguiente manera:
+ Riesgos conocidos detectados por el antimalware, que son gestionados por el proceso de mitigación del malware.
+ Eventos de seguridad, incluidas las infracciones de acceso, que gestiona el proceso de gestión de los eventos de seguridad.
**Topics**
+ [Protección de datos en AMS](sec-data-protect.md)
+ [Identity and Access Management](sec-iam.md)
+ [Respuesta a incidentes de seguridad en AMS](security-incident-response.md)
+ [Revisiones de seguridad de solicitudes de cambio en AMS Advanced](ams-sec-change-request-review.md)
# Protección de datos en AMS
AMS supervisa continuamente sus cuentas gestionadas mediante el uso de AWS servicios nativos como Amazon GuardDuty, Amazon Macie (opcional) y otras herramientas y procesos internos patentados. Una vez que se activa una alarma, AMS asume la responsabilidad de la clasificación inicial y de la respuesta a la alarma. Nuestros procesos de respuesta se basan en los estándares del NIST. AMS pone a prueba periódicamente sus procesos de respuesta utilizando la simulación de respuesta a incidentes de seguridad para alinear su flujo de trabajo con los programas de respuesta de seguridad existentes para los clientes.
Cuando AMS detecta cualquier infracción o amenaza inminente de infracción de sus políticas de AWS seguridad, recopilamos información, incluidos los recursos afectados y cualquier cambio relacionado con la configuración. AMS ofrece follow-the-sun asistencia las 24 horas del día, los 7 días de la semana, los 365 días del año, con operadores especializados que revisan e investigan activamente los paneles de supervisión, la lista de incidentes y las solicitudes de servicio en todas sus cuentas gestionadas. AMS investiga los resultados con nuestros expertos en seguridad para analizar la actividad y comunicártelo a través de los contactos de intensificación de la seguridad que figuran en tu cuenta.
Basándose en nuestras conclusiones, AMS interactúa con usted de forma proactiva. Si cree que la actividad no está autorizada o es sospechosa, AMS trabaja con usted para investigar y solucionar el problema o contener el problema. Existen determinados tipos de conclusiones GuardDuty que requieren que confirme el impacto antes de que AMS pueda tomar alguna medida. Por ejemplo, el tipo de GuardDuty búsqueda **UnauthorizedAccess:IAMUser/ConsoleLogin**, indica que uno de tus usuarios ha iniciado sesión desde una ubicación inusual; AMS te lo notifica y te pide que revises el hallazgo para confirmar si este comportamiento es legítimo.
## Amazon Macie
AWS Managed Services recomienda utilizar Macie para detectar una lista amplia y completa de datos confidenciales, como información de salud personal (PHI), información de identificación personal (PII) y datos financieros.
Macie se puede configurar para que se ejecute periódicamente en cualquier bucket de Amazon S3, lo que automatiza la evaluación de cualquier objeto nuevo o modificado dentro de un bucket a lo largo del tiempo. A medida que se generen problemas de seguridad, AMS se lo notificará y colaborará con usted para solucionarlos según sea necesario.
Para obtener más información, consulte [Análisis de los hallazgos de Amazon Macie.](https://docs.aws.amazon.com/macie/latest/user/findings.html)
### Seguridad de Amazon Macie
Macie es un servicio de seguridad intelligence/AI con tecnología artificial que le ayuda a evitar la pérdida de datos al descubrir, clasificar y proteger automáticamente los datos confidenciales almacenados en AWS. Macie utiliza el aprendizaje automático para reconocer datos confidenciales, como la información de identificación personal (PII) o la propiedad intelectual, asigna un valor empresarial y proporciona visibilidad sobre dónde se almacenan estos datos y cómo se utilizan en su organización. Macie supervisa continuamente la actividad de acceso a los datos para detectar anomalías y envía alertas cuando detecta un riesgo de acceso no autorizado o de fugas inadvertidas de datos. El servicio Macie es compatible con Amazon S3 y fuentes AWS CloudTrail de datos.
AMS monitorea continuamente las alertas de Macie y, si recibe una alerta, toma medidas rápidas para proteger sus recursos y su cuenta. Con la incorporación de Macie a la lista de servicios compatibles con AMS, ahora también somos responsables de habilitar y configurar Macie en todas sus cuentas, según sus instrucciones. Puede ver las alertas de Macie y nuestras acciones a medida que se despliegan en la consola de AWS o en las integraciones compatibles. Durante la incorporación de la cuenta, puede indicar las cuentas que utiliza para almacenar su información de identificación personal. Para todas las cuentas nuevas con PII, te recomendamos usar Macie. En el caso de las cuentas existentes con información de identificación personal, ponte en contacto con nosotros y la activaremos en tu cuenta. Como resultado, puede disponer de una capa de protección adicional y disfrutar de todas las ventajas de Macie en su entorno de AWS gestionado por AMS.
**AMS Macie FAQs**
+ ¿Por qué necesito a Macie si todas las cuentas de AMS tienen Trend Micro y GuardDuty están activadas?
Macie lo ayuda a proteger sus datos en Amazon S3 al ayudarlo a clasificar los datos que tiene, el valor que tienen para la empresa y el comportamiento asociado con el acceso a esos datos. Amazon GuardDuty ofrece una amplia protección de sus cuentas, cargas de trabajo y datos de AWS, ya que le ayuda a identificar amenazas como el reconocimiento de los actores de amenazas, los problemas de instancias y la actividad problemática de la cuenta. Ambos servicios incorporan el análisis del comportamiento de los usuarios, el aprendizaje automático y la detección de anomalías para detectar las amenazas en sus respectivas categorías. Trend Micro no se centra en identificar la PII ni las amenazas derivadas de la misma.
+ ¿Cómo activo Macie en mi cuenta de AMS?
Si lo has PII/PHI guardado en tus cuentas o tienes pensado guardarlo, ponte en contacto con tu CSDM o envía una solicitud de servicio para habilitar Macie en tus cuentas nuevas o existentes gestionadas por AMS.
+ ¿Cuáles son las implicaciones económicas de habilitar Macie en mi cuenta de AMS?
Los precios de Macie funcionan para AMS de forma similar a otros servicios, como Amazon Elastic Compute Cloud (Amazon EC2). Pagas por Amazon Macie en función del uso y un aumento de AMS en función del tuyo. SLAs Las tarifas de Macie se basan en el uso; consulte los precios de [Amazon Macie](https://aws.amazon.com/macie/pricing/), que se miden AWS CloudTrail en función de los eventos y del almacenamiento de Amazon S3. Ten en cuenta que los cargos de Macie tienden a estabilizarse a partir del segundo mes después de su activación, ya que se cobran en función de los datos incrementales que se añaden a los buckets de Amazon S3.
Para obtener más información sobre Macie, consulte [Amazon](https://aws.amazon.com/macie/) Macie.
## GuardDuty
GuardDuty es un servicio de supervisión continua de la seguridad que utiliza fuentes de inteligencia sobre amenazas, como listas de direcciones IP y dominios maliciosos, y aprendizaje automático para identificar actividades inesperadas, potencialmente no autorizadas y maliciosas en su entorno de AWS. Esto puede incluir problemas como la escalada de privilegios, el uso de credenciales expuestas o la comunicación con direcciones IP o dominios maliciosos. GuardDuty también supervisa el comportamiento de acceso a las cuentas de Amazon Web Services para detectar señales de peligro, como despliegues de infraestructura no autorizados, como instancias implementadas en una región que nunca se ha utilizado, o llamadas inusuales a la API, como un cambio en la política de contraseñas para reducir la seguridad de las contraseñas. Para obtener más información, consulte la [Guía del GuardDuty usuario](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).
Para ver y analizar sus GuardDuty hallazgos, utilice el siguiente procedimiento.
1. Abra la [consola de GuardDuty ](https://console.aws.amazon.com/guardduty/).
1. Elija **Hallazgos** y, a continuación, elija un hallazgo específico para ver los detalles. Los detalles de cada hallazgo varían según el tipo de hallazgo, los recursos involucrados y la naturaleza de la actividad.
Para obtener más información sobre los campos de búsqueda disponibles, consulte los [detalles de GuardDuty búsqueda](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings-summary.html).
### GuardDuty seguridad
Amazon GuardDuty ofrece una detección de amenazas que le permite supervisar y proteger de forma continua sus cuentas y cargas de trabajo de AWS. Amazon GuardDuty analiza los flujos continuos de metadatos generados a partir de la actividad de su cuenta y red que se encuentran en AWS CloudTrail los eventos, los registros de flujo de Amazon VPC y los registros del Sistema de nombres de dominio (DNS). También utiliza inteligencia de amenazas integrada, como direcciones IP maliciosas conocidas, detección de anomalías y aprendizaje automático, para identificar las amenazas con mayor precisión. GuardDuty es un servicio AMS supervisado. Para obtener más información sobre la GuardDuty supervisión de Amazon, consulta[GuardDuty supervisión](#guardduty-scope). Para obtener más información GuardDuty, consulta [Amazon GuardDuty](https://aws.amazon.com/guardduty/).
Todas las cuentas AMS nuevas están GuardDuty habilitadas de forma predeterminada. AMS se configura GuardDuty durante la incorporación de la cuenta. Puede enviar solicitudes de cambio para modificar la configuración en cualquier momento. GuardDuty Los precios funcionan para AMS de forma similar a otros servicios, como Amazon Elastic Compute Cloud (Amazon EC2). Usted paga en GuardDuty función del uso y un aumento de AMS en función del suyo. SLAs GuardDuty las tarifas se basan en el uso ([ GuardDuty precios de Amazon](https://aws.amazon.com/guardduty/pricing/)) y se miden en función de AWS CloudTrail los eventos y el volumen del registro de flujo de Amazon VPC.
GuardDuty En el caso de AMS, están habilitadas las siguientes categorías de detección principales:
+ Reconocimiento: actividad que sugiere el reconocimiento por parte de un agente de amenazas, como una actividad inusual de la API, el escaneo de puertos dentro de la VPC, patrones inusuales de solicitudes de inicio de sesión fallidas o el sondeo de puertos desbloqueado desde una IP defectuosa conocida.
+ Problema de instancia: actividad problemática de las instancias, como la minería de criptomonedas, el malware que utiliza algoritmos de generación de dominios (DGA), la actividad de denegación de servicio saliente, el volumen de tráfico de red inusualmente alto, los protocolos de red inusuales, la comunicación de la instancia saliente con una IP maliciosa conocida, EC2 las credenciales temporales de Amazon utilizadas por una dirección IP externa y la exfiltración de datos mediante DNS.
+ Actividad de la cuenta: los patrones comunes que indican la actividad de la cuenta incluyen las llamadas a la API desde un proxy de geolocalización o anonimización inusual, los intentos de deshabilitar el AWS CloudTrail registro, los lanzamientos de instancias o infraestructuras inusuales, las implementaciones de infraestructura en una región de AWS inusual y las llamadas a la API desde direcciones IP maliciosas conocidas.
AMS utiliza las cuentas gestionadas para supervisar de forma continua los hallazgos y alertas procedentes de ellas y, GuardDuty en caso de recibir alertas, las operaciones de AMS toman medidas proactivas para proteger sus recursos GuardDuty y su cuenta. Puede ver GuardDuty los resultados y nuestras acciones a medida que se van desarrollando en la consola de AWS o en las integraciones compatibles.
GuardDuty funciona con Trend Micro Deep Security Manager en su cuenta. Trend Micro Deep Security Manager ofrece servicios de detección y prevención de intrusiones basados en el host. Los servicios de reputación web de Trend Micro se solapan GuardDuty en cierta medida con la capacidad de detectar cuándo un host intenta comunicarse con un host o servicio web que se sabe que representa una amenaza. Sin embargo, GuardDuty proporciona categorías de detección de amenazas adicionales y, para ello, supervisa el tráfico de la red, un método que complementa la detección basada en el host de Trend Micro. La detección de amenazas basada en la red permite aumentar la seguridad, ya que no permite que los controles fallen si el anfitrión presenta un comportamiento problemático. AMS recomienda usarlo GuardDuty en todas sus cuentas de AMS.
Para obtener más información sobre Trend Micro, consulte el [Centro de ayuda de Trend Micro Deep Security](https://help.deepsecurity.trendmicro.com/10_3/aws/Welcome.html?redirected=true); tenga en cuenta que los enlaces que no son de Amazon pueden cambiar sin previo aviso.
#### GuardDuty supervisión
GuardDuty le informa del estado de su entorno de AWS mediante la generación de [hallazgos de seguridad](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html) que AMS captura y sobre los que puede alertar.
Amazon GuardDuty supervisa la seguridad de su entorno de AWS mediante el análisis y el procesamiento de los registros de flujo de VPC, los registros de AWS CloudTrail eventos y los registros del sistema de nombres de dominio. Puede ampliar este ámbito de supervisión configurándolo GuardDuty para utilizar también sus propias listas de IP de confianza y listas de amenazas personalizadas.
+ Las listas de IP de confianza se componen de las direcciones IP que ha permitido para una comunicación segura con la infraestructura y las aplicaciones de AWS. GuardDuty no genera datos sobre las direcciones IP que figuran en las listas de IP de confianza. Solo puede tener una lista de IP de confianza cargada a la vez por cuenta y región de AWS.
+ Las listas de amenazas se componen de direcciones IP maliciosas conocidas. GuardDuty genera resultados a partir de listas de amenazas. Solo puede tener hasta seis listas de amenazas cargadas a la vez por cuenta y región de AWS.
Para implementarlo GuardDuty, utilice el comando AMS CT Deployment \$1 Monitoring and notification \$1 GuardDuty IP set \$1 Create (ct-08avsj2e9mc7g) para crear un conjunto de direcciones IP aprobadas. También puede utilizar el conjunto AMS CT Deployment \$1 Monitoring and Notification \$1 GuardDuty Threat Intel Set \$1 Create (ct-25v6r7t8gvkq5) para crear un conjunto de direcciones IP denegadas.
Para obtener una lista [¿Qué monitorea el sistema de monitoreo AMS?](monitoring-what-services.md) de los servicios que monitorea AMS, consulte.
## Firewall DNS Amazon Route 53 Resolver
Amazon Route 53 Resolver responde de forma recursiva a las consultas de DNS de AWS los recursos de registros públicos, los nombres de DNS específicos de Amazon VPC y las zonas alojadas privadas de Amazon Route 53, y está disponible de forma predeterminada en todos ellos. VPCs Con DNS Firewall de Route 53 Resolver, puede filtrar y regular el tráfico DNS de salida para su virtual private cloud (VPC). Para ello, cree colecciones reutilizables de reglas de filtrado en grupos de reglas de DNS Firewall, asocie los grupos de reglas a su VPC y, a continuación, monitoree la actividad en los registros y métricas de DNS Firewall. En función de la actividad, puede ajustar el comportamiento de DNS Firewall según corresponda. Para obtener más información, consulte [Uso del firewall de DNS para filtrar el tráfico DNS saliente](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).
Para ver y administrar la configuración del firewall DNS de Route 53 Resolver, utilice el siguiente procedimiento:
1. Inicie sesión en la consola de Amazon VPC Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. En **Firewall de DNS**, selecciona **Grupos de reglas**.
1. Revisa, edita o elimina la configuración existente o crea un grupo de reglas nuevo. Para obtener más información, consulte [Cómo funciona el firewall DNS de Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-overview.html).
### Supervisión y seguridad del firewall DNS de Amazon Route 53 Resolver
El firewall DNS de Amazon Route 53 utiliza los conceptos de asociaciones de reglas, acción de reglas y prioridad de evaluación de reglas. Una lista de dominios es un conjunto reutilizable de especificaciones de dominio que se utiliza en una regla de DNS Firewall, dentro de un grupo de reglas. Al asociar un grupo de reglas a una VPC, DNS Firewall compara las consultas de DNS con las listas de dominios que se utilizan en las reglas. Si el Firewall de DNS encuentra una coincidencia, gestiona la consulta de DNS de acuerdo con la acción de la regla coincidente. Para obtener más información sobre los grupos de reglas y las reglas, consulte Reglas [y grupos de reglas del Firewall DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html).
Las listas de dominios se dividen en dos categorías principales:
+ Listas de dominios gestionadas, que se AWS crean y mantienen para usted.
+ Sus propias listas de dominios, que usted crea y mantiene.
Los grupos de reglas se evalúan en función de su índice de prioridad de asociación.
De forma predeterminada, AMS implementa una configuración de referencia que consta de la siguiente regla y grupo de reglas:
+ Un grupo de reglas denominado`DefaultSecurityMonitoringRule`. El grupo de reglas tiene la prioridad de asociación más alta disponible en el momento de la creación para cada VPC existente en cada una de las VPC habilitadas. Región de AWS
+ Una regla nombrada `DefaultSecurityMonitoringRule` con la prioridad **1** dentro del grupo de `DefaultSecurityMonitoringRule` reglas, mediante la lista de dominios `AWSManagedDomainsAggregateThreatList` gestionados con la acción **ALERT**.
Si tiene una configuración existente, la configuración básica se implementa con una prioridad inferior a la configuración existente. La configuración actual es la predeterminada. Utiliza la configuración básica de AMS como una configuración general si la configuración existente no proporciona instrucciones de mayor prioridad sobre cómo gestionar la resolución de consultas. Para modificar o eliminar la configuración básica, realice una de las siguientes acciones:
+ Póngase en contacto con su administrador de prestación de servicios en la nube (CSDM) o con su arquitecto de nube (CA).
+ Cree una solicitud de cambio (RFC) mediante [Management \$1 Other \$1 Other \$1 Create CT (ct-1e1xtak34nx76)](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/ex-other-other.html).
+ Cree una solicitud de servicio.
Si su cuenta funciona en el modo Desarrollador o en el modo Cambio directo, puede realizar los cambios usted mismo.
## AWS Certificate Manager Certificado (ACM)
AMS tiene un certificado CT, Deployment \$1 Advanced stack components \$1 ACM con un SANs \$1 Create (ct-3l14e139i5p50) adicional, que puede utilizar para enviar una solicitud de certificado de AWS Certificate Manager, con hasta cinco nombres alternativos de sujeto (SAN) adicionales (como example.com, example.net y example.org). [Para obtener más información, consulte ¿Qué es? AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) y [característica del certificado ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-certificate.html).
**nota**
Esta configuración de tiempo de espera no se limita a la ejecución, sino también a la validación del certificado ACM mediante la validación por correo electrónico. Sin tu validación, la RFC fallará.
## Cifrado de datos en AMS
AMS utiliza varios AWS servicios para el cifrado de datos, entre los que destacan Amazon Simple Storage Service AWS Key Management Service (AWS KMS), Amazon Elastic Block Store, Amazon Relational Database Service Amazon Redshift Amazon ElastiCache, AWS Lambda, y OpenSearch Amazon Service.
**Amazon S3**
Amazon S3 ofrece varias opciones de cifrado de objetos que protegen los datos en tránsito y en reposo. El cifrado del lado del servidor cifra el objeto antes de guardarlo en discos de sus centros de datos y, a continuación, lo descifra al descargar los objetos. Siempre que autentique su solicitud y tenga permiso de acceso, no existe diferencia alguna en la forma de obtener acceso a objetos cifrados o sin cifrar. Para obtener más información, consulte [Protección de los datos en Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html).
**Amazon EBS**
Con el cifrado de Amazon EBS, no necesita crear, mantener ni proteger su propia infraestructura de administración de claves. El cifrado de Amazon EBS utiliza AWS KMS claves al crear volúmenes e instantáneas cifrados. Las operaciones de cifrado se realizan en los servidores que alojan EC2 las instancias de Amazon. Esto se hace para garantizar que tanto data-at-rest una instancia como data-in-transit entre ella y su almacenamiento Amazon EBS adjunto estén protegidos. Puede asociar volúmenes cifrados y no cifrados con una instancia simultáneamente. Para obtener más información, consulte [Cifrado de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html).
**Amazon RDS**
Amazon RDS puede cifrar sus instancias de base de datos Amazon RDS. Los datos cifrados en reposo incluyen el almacenamiento subyacente de las instancias de base de datos, sus copias de seguridad automatizadas, las réplicas de lectura y las instantáneas. Las instancias de base de datos cifradas por Amazon RDS utilizan el algoritmo de cifrado AES-256 estándar del sector para cifrar los datos en el servidor que aloja las instancias de base de datos de Amazon RDS. Una vez cifrados los datos, Amazon RDS se encarga de la autenticación de acceso y del descifrado de los datos de forma transparente, con un impacto mínimo en el desempeño. No es necesario modificar las aplicaciones cliente de base de datos para utilizar el cifrado. Para obtener más información, consulte [Cifrado de recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html).
**Amazon Simple Queue Service**
Además de la opción de cifrado gestionado del lado del servidor (SSE) predeterminada por Amazon SQS, el SSE gestionado por Amazon SQS (SSE-SQS) le permite crear un cifrado gestionado del lado del servidor personalizado que utiliza claves de cifrado gestionadas por Amazon SQS para proteger los datos confidenciales que se envían a través de las colas de mensajes. El cifrado del servidor (SSE) le permite transferir información confidencial en colas cifradas. El SSE protege el contenido de los mensajes en las colas mediante claves de cifrado administradas por Amazon SQS (SSE-SQS) o claves administradas en (SSE-KMS). AWS KMS [Para obtener información sobre cómo administrar el SSE mediante el, consulte Cifrado en reposo. Consola de administración de AWS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-server-side-encryption.html)
**Cifrado de datos en reposo**
OpenSearch Los dominios de servicio ofrecen el cifrado de los datos en reposo, una función de seguridad que ayuda a evitar el acceso no autorizado a los datos. La función utiliza AWS Key Management Service (AWS KMS) para almacenar y gestionar las claves de cifrado y el algoritmo del estándar de cifrado avanzado con claves de 256 bits (AES-256) para realizar el cifrado. Para obtener más información, consulte [Cifrado de datos en reposo para Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html).
**Administración de claves**
AWS KMS es un servicio gestionado que le facilita la creación y el control de las claves maestras de los clientes (CMKs), las claves de cifrado que se utilizan para cifrar sus datos. AWS KMS CMKs están protegidos por módulos de seguridad de hardware (HSMs) validados por el programa de validación de módulos criptográficos FIPS 140-2, excepto en las regiones de China (Beijing) y China (Ningxia). Para obtener más información, consulte [¿Qué es AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
# Identity and Access Management
AWS Identity and Access Management (IAM) es un servicio web que le ayuda a controlar de forma segura el acceso a AWS los recursos. Utilice IAM para controlar quién está autenticado (ha iniciado sesión) y autorizado (tiene permisos) para utilizar recursos. Durante la incorporación a AMS, usted es responsable de crear funciones de administrador de IAM multicuenta en cada una de sus cuentas gestionadas.
## La IAM de Multi-Account Landing Zone (MALZ) protege
La zona de aterrizaje multicuenta (MALZ) de AMS requiere una confianza en Active Directory (AD) como objetivo de diseño principal de la gestión de acceso a AMS para permitir que cada organización (tanto AMS como cliente) gestione los ciclos de vida de sus propias identidades. Esto evita la necesidad de tener credenciales en el directorio de la otra. La confianza unidireccional está configurada de modo que el Active Directory administrado dentro de él Cuenta de AWS confíe en AD, propiedad del cliente o administrado, para autenticar a los usuarios. Como la confianza es unidireccional, no significa que el Active Directory del cliente confíe en el Active Directory del cliente.
En esta configuración, el directorio de clientes que gestiona las identidades de los usuarios se conoce como bosque de usuarios y el AD gestionado al que se adjuntan las EC2 instancias de Amazon se conoce como bosque de recursos. Se trata de un patrón de diseño de Microsoft que se utiliza habitualmente para la autenticación de Windows; para obtener más información, [consulte Forest](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/forest-design-models) Design Models.
Este modelo permite a ambas organizaciones automatizar sus respectivos ciclos de vida y permite a AMS y a usted revocar rápidamente el acceso si un empleado deja la organización. Sin este modelo, si ambas organizaciones utilizaran un directorio común (o lo crearan users/groups en los directorios de la otra), ambas organizaciones tendrían que incluir flujos de trabajo adicionales y sincronizaciones de usuarios para contabilizar los empleados que comienzan y se van. Esto supone un riesgo, ya que el proceso tiene latencia y puede ser propenso a errores.
### Requisitos previos de acceso a MALZ
Integración del proveedor de identidad MALZ para acceder a la consola AWS/AMS, CLI y SDK.
![\[Las relaciones entre el proveedor de identidades y la gestión de cambios de AWS Consola de administración de AWS IAM y AMS.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/malz-access-prereqs-1.png)
Confianza unidireccional para las EC2 instancias de Amazon en tu cuenta de AMS.
![\[La dirección de la confianza es unidireccional: desde las EC2 instancias de Amazon hasta el dominio de Active Directory de la organización.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/malz-access-prereqs-2.png)
# Autenticación con identidades
AMS usa funciones de IAM, que son un tipo de identidad de IAM. Una función de IAM es muy similar a la de un usuario, ya que es una identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en ella. AWS Sin embargo, un rol no tiene credenciales asociadas y, en lugar de estar asociado únicamente a una persona, está pensado para que lo pueda asumir cualquier persona que lo necesite. Un usuario de IAM puede asumir una función para disponer temporalmente de diferentes permisos para una tarea específica.
Los roles de acceso están controlados por la pertenencia a un grupo interno, que la Gerencia de Operaciones administra y revisa periódicamente.
# Función de usuario de IAM en AMS
Una función de IAM es similar a la de un usuario de IAM, en el sentido de que es una AWS identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en ella. AWS No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite.
Actualmente, `Customer_ReadOnly_Role` hay un rol de usuario predeterminado de AMS para las cuentas de AMS estándar y un rol adicional `customer_managed_ad_user_role` para las cuentas de AMS con Active Directory administrado.
Las políticas de roles establecen los permisos CloudWatch y las acciones de registro de Amazon S3, el acceso a la consola AMS, las restricciones de solo lectura en la mayoría de los casos Servicios de AWS, el acceso restringido a la consola S3 de la cuenta y el acceso mediante cambios de tipo.
Además, `Customer_ReadOnly_Role` tiene permisos mutables de instancias reservadas que le permiten reservar instancias. Tiene algunos valores de ahorro de costes, por lo que, si sabe que va a necesitar un número determinado de EC2 instancias de Amazon durante un período prolongado, puede llamarlas APIs. Para obtener más información, consulte [Amazon EC2 Reserved Instances](https://aws.amazon.com/ec2/pricing/reserved-instances/).
**nota**
El objetivo de nivel de servicio (SLO) de AMS para crear políticas de IAM personalizadas para los usuarios de IAM es de cuatro días hábiles, a menos que se vaya a reutilizar una política existente. Si desea modificar el rol de usuario de IAM existente o añadir uno nuevo, envíe un RFC de [IAM: Update Entity o [IAM](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html): Create Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html), respectivamente.
Si no está familiarizado con las funciones de Amazon IAM, consulte Funciones de [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) para obtener información importante.
**Zona de aterrizaje multicuenta (MALZ)**: para ver las políticas de rol de usuario predeterminadas y no personalizadas de las zonas de aterrizaje multicuenta de AMS, consulte a continuación. [MALZ: Funciones de usuario de IAM predeterminadas](#json-default-role-malz)
## MALZ: Funciones de usuario de IAM predeterminadas
Declaraciones de política de JSON para los roles de usuario multicuenta predeterminados de AMS multicuenta en la zona de landing zone.
**nota**
Los roles de usuario se pueden personalizar y pueden variar según la cuenta. Se proporcionan instrucciones para encontrar su función.
Estos son ejemplos de los roles de usuario predeterminados de MALZ. Para asegurarse de que ha establecido las políticas que necesita, ejecute el comando AWS [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)o inicie sesión en la [consola AWS Management -> IAM](https://console.aws.amazon.com/iam/) y seleccione **Roles** en el panel de navegación.
### Funciones principales de la cuenta OU
Una cuenta principal es una cuenta de infraestructura gestionada por Malz. Las cuentas principales de AMS multi-account landing zone incluyen una cuenta de administración y una cuenta de red.
**Cuenta principal de OU: funciones y políticas comunes**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/defaults-user-role.html)
**Cuenta principal de OU: funciones y políticas de la cuenta de administración**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/defaults-user-role.html)
**Cuenta principal de OU: funciones y políticas de las cuentas de red**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/defaults-user-role.html)
### Funciones de la cuenta de la aplicación
Los roles de la cuenta de la aplicación se aplican a las cuentas específicas de la aplicación.
**Cuenta de aplicación: funciones y políticas**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/defaults-user-role.html)
### Ejemplos de política
Se proporcionan ejemplos de la mayoría de las políticas utilizadas. Para ver la ReadOnlyAccess política (que tiene una extensión de páginas, ya que proporciona acceso de solo lectura a todos los AWS servicios), puede utilizar este enlace si tiene una cuenta de AWS activa:. [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary) Además, aquí se incluye una versión resumida.
#### AMSBillingPolítica
`AMSBillingPolicy`
El departamento de contabilidad puede utilizar la nueva función de facturación para ver y cambiar la información de facturación o la configuración de la cuenta de gestión. Para acceder a información como los contactos alternativos, ver el uso de los recursos de la cuenta, controlar tu facturación o incluso modificar tus métodos de pago, utilizas esta función. Esta nueva función incluye todos los permisos que figuran en la [página web de acciones de IAM sobre facturación de AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToBilling"
},
{
"Action": [
"aws-portal:ViewAccount",
"aws-portal:ModifyAccount"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountSettings"
},
{
"Action": [
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountBudget"
},
{
"Action": [
"aws-portal:ViewPaymentMethods",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPaymentMethods"
},
{
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToUsage"
},
{
"Action": [
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostAndUsageReport"
},
{
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPricing"
},
{
"Action": [
"ce:*",
"compute-optimizer:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostExplorerComputeOptimizer"
},
{
"Action": [
"purchase-orders:ViewPurchaseOrders",
"purchase-orders:ModifyPurchaseOrders"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPurchaseOrders"
},
{
"Action": [
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToRedshiftAction"
},
{
"Action": "savingsplans:*",
"Resource": "*",
"Effect": "Allow",
"Sid": "AWSSavingsPlansFullAccess"
}
]
}
```
------
#### AMSChangeManagementReadOnlyPolicy
`AMSChangeManagementReadOnlyPolicy`
Permisos para ver todos los tipos de cambios de AMS y el historial de los tipos de cambios solicitados.
#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`
Permisos para solicitar el tipo de cambio de despliegue \$1 Managed landing zone \$1 Cuenta de administración \$1 Crear cuenta de aplicación (con VPC).
#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `
Permisos para solicitar el tipo de cambio de implementación \$1 Managed landing zone \$1 Cuenta de red \$1 Crear tabla de rutas de aplicaciones.
#### AMSChangeManagementInfrastructurePolicy
`AMSChangeManagementInfrastructurePolicy`(para administración \$1 Otros \$1 Otros CTs)
Permisos para solicitar los tipos de cambio de administración \$1 Otros \$1 Otros \$1 Otros \$1 Otros \$1 Otros \$1 Actualizar tipos de cambios.
#### AMSSecretsManagerSharedPolicy
`AMSSecretsManagerSharedPolicy`
Permisos para ver los datos secretos passwords/hashes compartidos por AMS AWS Secrets Manager (por ejemplo, las contraseñas de la infraestructura para su auditoría).
Permisos para crear un secreto password/hashes para compartirlo con AMS. (por ejemplo, las claves de licencia de los productos que se deben implementar).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyGetSecretOnCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowReadAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
#### AMSChangeManagementPolicy
`AMSChangeManagementPolicy`
Permisos para solicitar y ver todos los tipos de cambios de AMS y el historial de los tipos de cambios solicitados.
#### AMSReservedInstancesPolicy
`AMSReservedInstancesPolicy`
Permisos para gestionar las instancias EC2 reservadas de Amazon; para obtener información sobre los precios, consulte [Amazon EC2 Reserved Instances](https://aws.amazon.com/ec2/pricing/reserved-instances/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowReservedInstancesManagement",
"Effect": "Allow",
"Action": [
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering"
],
"Resource": [
"*"
]
}]
}
```
------
#### AMSS3Política
`AMSS3Policy`
Permisos para crear y eliminar archivos de buckets de Amazon S3 existentes.
**nota**
Estos permisos no permiten crear buckets de S3; esto debe hacerse con el tipo de cambio Deployment \$1 Advanced stack components \$1 S3 storage \$1 Create.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
#### AWSSupportAcceso
`AWSSupportAccess`
Acceso completo a Soporte. Para obtener información, consulte [Cómo empezar con Soporte](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Para obtener información sobre Premium Support, consulte [Soporte](https://aws.amazon.com/premiumsupport/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"support:*"
],
"Resource": "*"
}]
}
```
------
#### AWSMarketplaceManageSubscriptions
`AWSMarketplaceManageSubscriptions`(Política de AWS gestión pública)
Permisos para suscribirse, cancelar la suscripción y ver AWS Marketplace las suscripciones.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### AWSCertificateManagerFullAccess
`AWSCertificateManagerFullAccess`
Acceso completo a AWS Certificate Manager. Para obtener más información, consulte [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/).
[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy)información (Política pública gestionada de AWS).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"acm:*"
],
"Resource": "*"
}]
}
```
------
#### AWSWAFFullAcceso
`AWSWAFFullAccess`
Acceso completo a AWS WAF. Para obtener más información, consulte [AWS WAF : Web Application Firewall](https://aws.amazon.com/waf/).
[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html)información, (política de AWS gestión pública). Esta política otorga acceso total a AWS WAF los recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"waf:*",
"waf-regional:*",
"elasticloadbalancing:SetWebACL"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### ReadOnlyAccess
`ReadOnlyAccess`
Acceso de solo lectura a todos los AWS servicios y recursos de la AWS consola. Cuando AWS lanza un nuevo servicio, AMS actualiza la ReadOnlyAccess política para añadir permisos de solo lectura al nuevo servicio. Los permisos actualizados se aplican a todas las entidades principales a las que la política está asociada.
Esto no permite iniciar sesión en los hosts o en los EC2 hosts de bases de datos.
Si tienes una política activa Cuenta de AWS, puedes usar este enlace [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary)para ver la ReadOnlyAccess política completa. Toda la ReadOnlyAccess política es muy larga, ya que proporciona acceso de solo lectura para todos. Servicios de AWS El siguiente es un extracto parcial de la política. ReadOnlyAccess
**Zona de aterrizaje de cuenta única (SALZ)**: para ver las políticas de rol de usuario predeterminadas y no personalizadas de la zona de aterrizaje de cuenta única de AMS, consulte a continuación. [SALZ: rol de usuario de IAM predeterminado](#json-default-role)
## SALZ: rol de usuario de IAM predeterminado
Declaraciones de política de JSON para el rol de usuario predeterminado de AMS con una sola cuenta en la zona de landing zone.
**nota**
El rol de usuario predeterminado de SALZ se puede personalizar y puede variar según la cuenta. Se proporcionan instrucciones para encontrar su función.
El siguiente es un ejemplo del rol de usuario de SALZ predeterminado. Para asegurarse de que tiene las políticas definidas para usted, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)comando. O bien, inicie sesión en la AWS Identity and Access Management consola en y [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), a continuación, seleccione **Roles**.
La función de cliente de solo lectura es una combinación de varias políticas. A continuación se presenta un desglose del rol (JSON).
Política de auditoría de Managed Services:
Política de IAM ReadOnly de Managed Services
Política de usuario de Managed Services
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerToListTheLogBucketLogs",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"aws/*",
"app/*",
"encrypted",
"encrypted/",
"encrypted/app/*"
]
}
}
},
{
"Sid": "BasicAccessRequiredByS3Console",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowCustomerToGetLogs",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/aws/*",
"arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
]
},
{
"Sid": "AllowAccessToOtherObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject*",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCustomerToListTheLogBucketRoot",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"/"
]
}
}
},
{
"Sid": "AllowCustomerCWLConsole",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "AllowCustomerCWLAccessLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/*",
"arn:aws:logs:*:*:log-group:/infra/*",
"arn:aws:logs:*:*:log-group:/app/*",
"arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
]
},
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
},
{
"Sid": "ModifyAWSBillingPortal",
"Effect": "Allow",
"Action": [
"aws-portal:Modify*"
],
"Resource": [
"*"
]
},
{
"Sid": "DenyDeleteCWL",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "DenyMCCWL",
"Effect": "Deny",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/mc/*"
]
},
{
"Sid": "DenyS3MCNamespace",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
"arn:aws:s3:::mc-a*-logs-*/mc/*",
"arn:aws:s3:::mc-a*-logs-*-audit/*",
"arn:aws:s3:::mc-a*-internal-*/*",
"arn:aws:s3:::mc-a*-internal-*"
]
},
{
"Sid": "ExplicitDenyS3CfnBucket",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::cf-templates-*"
]
},
{
"Sid": "DenyListBucketS3LogsMC",
"Action": [
"s3:ListBucket"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"auditlog/*",
"encrypted/mc/*",
"mc/*"
]
}
}
},
{
"Sid": "DenyS3LogsDelete",
"Effect": "Deny",
"Action": [
"s3:Delete*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/*"
]
},
{
"Sid": "DenyAccessToKmsKeysStartingWithMC",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": [
"arn:aws:kms::*:key/mc-*",
"arn:aws:kms::*:alias/mc-*"
]
},
{
"Sid": "DenyListingOfStacksStartingWithMC",
"Effect": "Deny",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/mc-*"
]
},
{
"Sid": "AllowCreateCWMetricsAndManageDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCreateandDeleteCWDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:PutDashboard"
],
"Resource": [
"*"
]
}
]
}
```
Política compartida de Customer Secrets Manager
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSecretsManagerListSecrets",
"Effect": "Allow",
"Action": "secretsmanager:listSecrets",
"Resource": "*"
},
{
"Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyCustomerGetSecretCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
Política de suscripción a Customer Marketplace
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMarketPlaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": [
"*"
]
}
]
}
```
------
# Registro y supervisión de eventos de seguridad
AMS monitorea continuamente el entorno gestionado para detectar amenazas a la seguridad. AMS o usted pueden detectar los eventos de seguridad. AMS actualiza periódicamente su proceso de automatización, según la Guía de gestión de incidentes de seguridad informática del Instituto Nacional de Estándares y Tecnología (NIST), para detectar mejor las amenazas a la seguridad.
# Seguridad de terminales (EPS)
Los recursos que aprovisione en su entorno AMS Advanced incluyen automáticamente la instalación de un cliente de supervisión de Endpoint Security (EPS). Este proceso garantiza que los recursos gestionados por AMS Advanced se supervisen y admitan las 24 horas del día, los 7 días de la semana. Además, AMS Advanced supervisa toda la actividad de los agentes y, si se detecta algún incidente de seguridad, se crea un incidente.
**nota**
Los incidentes de seguridad se tratan como incidentes; para obtener más información, consulte [Respuesta a los incidentes](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html).
Endpoint Security proporciona protección antimalware. En concreto, admite las siguientes acciones:
+ EC2 las instancias se registran con EPS
+ EC2 las instancias se dan de baja del EPS
+ EC2 instancias de protección antimalware en tiempo real
+ Latidos cardíacos iniciados por un agente EPS
+ EPS restaura el archivo en cuarentena
+ Notificación de eventos EPS
+ Informes de EPS
AMS Advanced utiliza Trend Micro para la seguridad de terminales (EPS). Estos son los ajustes de EPS predeterminados. Para obtener más información sobre Trend Micro, consulte el [Centro de ayuda de Trend Micro Deep Security](https://help.deepsecurity.trendmicro.com/aws/welcome.html?redirected=true); tenga en cuenta que los enlaces que no son de Amazon pueden cambiar sin previo aviso.
La configuración predeterminada de la zona de aterrizaje multicuenta avanzada (MALZ) de AMS se describe en las siguientes secciones; para ver la configuración de EPS de la zona de aterrizaje multicuenta de AMS no predeterminada, [consulte la configuración no predeterminada de la EPS de la zona de aterrizaje multicuenta de AMS Advanced](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#malz-eps-settings).
**nota**
[Puedes traer tu propio EPS, consulta AMS trae tu propio EPS.](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html)
## Configuración general del EPS
Configuración general de red de Endpoint Security.
**Valores predeterminados de EPS**
| Opción | Valor predeterminado |
| --- | --- |
| Puertos de firewall (grupo de seguridad de las instancias) | Los agentes de EPS Deep Security Manager (DSMs) deben tener el puerto 4120 abierto Agent/Relay para la comunicación con el administrador y el puerto 4119 para la consola Manager. Los relés EPS deben tener el puerto 4122 abierto para poder comunicarse con el Manager/Agent relé. No debe haber ningún puerto específico abierto para la comunicación entrante de la instancia del cliente, ya que los agentes inician todas las solicitudes. |
| Dirección de comunicación | Agente o dispositivo iniciado |
| Intervalo de latidos | Diez minutos |
| Número de latidos cardíacos perdidos antes de una alerta | Dos |
| Variación (diferencia) máxima permitida entre los horarios de los servidores | Sin límite |
| Genera errores de desconexión en las máquinas virtuales inactivas (registradas, pero no conectadas) | No |
| Política predeterminada | Política base (que se describe a continuación) |
| Activación de varios ordenadores con el mismo nombre de host | Está permitida |
| Se generan alertas de actualizaciones pendientes | Después de siete días |
| Calendario de actualizaciones | AMS prevé un ciclo de publicación mensual para las actualizaciones de software de Trend Micro Deep Security Manager (DSM) y Deep Security Agent (DSA). Sin embargo, AMS no mantiene un SLA para las actualizaciones. Los equipos de desarrolladores de AMS realizan las actualizaciones en toda la flota durante una implementación. Las actualizaciones de DSA/DSA se registran en los eventos del sistema DSM de Trend Micro que AMS conserva localmente de forma predeterminada durante 13 semanas. Para ver la documentación del proveedor, consulte los [eventos del sistema](https://help.deepsecurity.trendmicro.com/12_0/aws/Events-Alerts/ref-events-system.html) en el Centro de ayuda de Trend Micro Deep Security. Los registros también se exportan al grupo de registros/aws/ams/eps/var/log/DSM.log en Amazon CloudWatch. |
| Fuente de actualización | Servidor de actualizaciones de Trend Micro (https://ipv6-iaus.trendmicro.com/iau\$1server.dll/) |
| Eliminación de datos de eventos o registros | Los eventos y los registros se eliminan de la base de datos de DSM después de siete días. |
| Se conservan las versiones del software del agente | Hasta cinco |
| Se mantienen las actualizaciones de reglas más recientes | Hasta diez |
| Almacenamiento de registros | De forma predeterminada, los archivos de registro se almacenan de forma segura en Amazon S3, pero también puede archivarlos en Amazon Glacier para cumplir con los requisitos de auditoría y conformidad. |
## Política básica
Configuración predeterminada de la política básica de seguridad de terminales.
**Política base de EPS**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/eps-defaults.html)
## Antimalware
Configuración antimalware de Endpoint Security.
**Valores predeterminados de antimalware de EPS**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/eps-defaults.html)
# Proceso de mitigación de malware
AMS utiliza la plataforma Deep Security Platform (sistema antimalware) de Trend Micro para detectar y responder al malware en las instancias gestionadas por AMS. De forma predeterminada, el agente de detección de Trend Micro se ejecuta en todas las EC2 instancias de Amazon, incluidas las de los servicios compartidos y las subredes privadas, para los sistemas operativos Windows y Linux. El sistema antimalware está conectado a la supervisión de AMS, de modo que se genera un evento cada vez que se detecta malware. Si se produce un impacto en el cliente, el evento se transfiere al proceso de gestión de incidentes (para obtener más información, consulte[Respuesta a incidentes de AMS](sec-incident-response.md)). Mientras AMS evalúa el impacto, se le notifica y se intenta mitigarlo.
Las definiciones antimalware de Trend Micro se actualizan automáticamente cuando Trend Micro publica actualizaciones.
Durante la incorporación de la aplicación, usted indica la acción que desea que AMS lleve a cabo cuando encuentre malware en una instancia:
+ Asegúrese de que el archivo en cuarentena esté en la lista de archivos permitidos, elimínelo de la cuarentena y devuélvalo al sistema de archivos.
+ Elimine el archivo en cuarentena y elimínelo de la instancia.
+ Suspenda la instancia y sustitúyala. La instancia suspendida estará entonces a su disposición para utilizarla en una investigación forense.
Tras la incorporación de la aplicación:
+ Cuando el sistema antimalware descubre malware en una instancia, AMS lo pone automáticamente en cuarentena. Esto desencadena un evento y una investigación de seguimiento.
+ AMS le notifica el evento mediante una notificación de servicio y comienza a aplicar la acción de mitigación predeterminada que haya seleccionado.
+ Si no has elegido una acción predeterminada, AMS te preguntará qué acción debes realizar. Tras recibir las instrucciones, AMS ejecuta la acción seleccionada y se lo notifica. AMS le vuelve a notificar una vez finalizada la acción, incluyendo los detalles necesarios para el análisis forense, si corresponde.
# Habilite IDS e IPS en Trend Micro Deep Security
Puede solicitar que AMS habilite en su cuenta el Sistema de Detección de Intrusiones (IDS) y los Sistemas de Protección contra Intrusiones (IPS) de Trend Micro, funciones no predeterminadas.
Para ello, envíe una solicitud de actualización (Administración \$1 Otros \$1 Otros \$1 Actualización) e incluya una lista de direcciones de correo electrónico para recibir las notificaciones de IDS e IPS. Estas direcciones se añaden a un tema de SNS de su cuenta, que AMS crea para usted.
**nota**
AMS no puede añadir ningún servicio de Trend Micro que pueda interferir con nuestra capacidad de prestar otros servicios de AMS.
# Escaneos completos de malware del sistema
El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) exige escaneos completos de malware del sistema, que están habilitados de forma predeterminada en la VPC gestionada por AMS. Los escaneos completos del sistema están programados para realizarse a las 2 de la madrugada (en la zona horaria establecida en el servidor) porque consumen una gran cantidad de CPU. Los escaneos completos del sistema se suman a los escaneos de malware habituales que no utilizan mucha CPU.
Existe un nuevo tipo de cambio de administración (CT), denominado **Desactivar los escaneos de malware**, que permite deshabilitar los escaneos de malware en todo el sistema. Puede encontrar el CT en Gestión \$1 Seguridad del host \$1 Análisis completo del sistema \$1 Desactivar la clasificación, cambiar el ID ct-1pybwg08h8qsz. Para volver a activar los escaneos, utilice la función Administración \$1 Otros \$1 Otros \$1 Actualización de CT. La desactivación de los escaneos completos del sistema no inhabilita los escaneos de malware habituales.
## Seguridad de Amazon Inspector
El servicio Amazon Inspector supervisa la seguridad de las pilas gestionadas por AMS. Amazon Inspector es un servicio de evaluación de seguridad automatizado que ayuda a identificar las brechas en la seguridad y el cumplimiento de la infraestructura implementada AWS. Las evaluaciones de seguridad de Amazon Inspector le permiten evaluar automáticamente las pilas para detectar la exposición, las vulnerabilidades y las desviaciones de las mejores prácticas al comprobar la accesibilidad de la red y las vulnerabilidades no deseadas en sus instancias de Amazon EC2 . Después de la evaluación, Amazon Inspector genera una lista detallada de resultados relacionados con la seguridad priorizados por nivel de gravedad. Las evaluaciones de Amazon Inspector se ofrecen como paquetes de reglas predefinidas mapeados a las mejores prácticas y definiciones de seguridad comunes. Los investigadores de AWS seguridad actualizan periódicamente estas reglas. Para obtener más información sobre Amazon Inspector, visita [Amazon Inspector](https://aws.amazon.com/inspector).
**AMS Amazon Inspector FAQs**
+ ¿Amazon Inspector está instalado en mis cuentas de AMS de forma predeterminada?
No. Amazon Inspector no forma parte de la compilación de la AMI predeterminada ni de la ingesta de carga de trabajo.
+ ¿Cómo puedo acceder a Amazon Inspector e instalarlo?
Envíe un RFC (Administración \$1 Otros \$1 Otros \$1 Crear) para solicitar el acceso a la cuenta y la instalación al Inspector y el equipo de operaciones de AMS modificará el Customer\$1 ReadOnly \$1Role para proporcionar acceso a la consola de Amazon Inspector (sin acceso a SSM).
+ ¿El agente de Amazon Inspector debe estar instalado en todas las EC2 instancias de Amazon que quiero evaluar?
No, las evaluaciones de Amazon Inspector con el paquete de reglas de accesibilidad de la red se pueden ejecutar sin un agente para ninguna instancia de Amazon EC2 . El agente es obligatorio para alojar los paquetes de reglas de evaluación. Para obtener más información sobre la instalación de agentes, consulte [Instalación de los agentes de Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_installing-uninstalling-agents.html).
+ ¿Este servicio tiene un coste adicional?
Sí. Los precios de Amazon Inspector se encuentran en el sitio de [precios de Amazon Inspector](https://aws.amazon.com/inspector/pricing/).
+ ¿Cuáles son las conclusiones de Amazon Inspector?
Los hallazgos son posibles problemas de seguridad descubiertos durante la evaluación de Amazon Inspector del objetivo de evaluación seleccionado. Los resultados se muestran en la consola de Amazon Inspector o en la API y contienen una descripción detallada de los problemas de seguridad y recomendaciones para resolverlos.
+ ¿Están disponibles los informes de la evaluación de Amazon Inspector?
Sí. Un informe de evaluación es un documento que detalla lo que se prueba en la ejecución de evaluación y los resultados de esta. Los resultados de la evaluación se organizan en informes estándar, los que se pueden generar para compartir los resultados dentro de su equipo para corregir errores, enriquecer los datos de auditorías de cumplimiento o almacenar referencias futuras. Se puede generar un informe de evaluación de Amazon Inspector para ejecutar una evaluación una vez que se haya completado correctamente.
+ ¿Puedo usar etiquetas para identificar las pilas con las que quiero ejecutar los informes de Amazon Inspector?
Sí.
+ ¿Los equipos de operaciones de AMS tendrán acceso a los resultados de la evaluación de Amazon Inspector?
Sí. Cualquier persona que tenga acceso a la consola de Amazon Inspector en AWS puede ver los resultados y los informes de evaluación.
+ ¿Los equipos de operaciones de AMS recomendarán o tomarán medidas en función de las conclusiones de los informes de Amazon Inspector?
No. Si quieres que se realicen cambios en función de los resultados del informe de Amazon Inspector, debes solicitarlos mediante una RFC (Management \$1 Other \$1 Other \$1 Update).
+ ¿Recibirá una notificación a AMS cuando ejecute un informe de Amazon Inspector?
Cuando solicitas el acceso a Amazon Inspector, el operador de AMS que ejecuta la RFC notifica la solicitud a tu CSDM.
Para obtener más información, consulte [Amazon Inspector FAQs](https://aws.amazon.com/inspector/faqs/).
# Respuesta a incidentes de AMS
AMS utiliza las mejores prácticas tradicionales de gestión de incidentes de gestión de servicios de TI (ITSM) para restablecer el servicio, cuando es necesario, lo más rápido posible.
Brindamos follow-the-sun asistencia las 24 horas del día, los 7 días de la semana, los 365 días del año a través de múltiples centros de operaciones en todo el mundo, con operadores especializados que supervisan activamente los paneles de control y las colas de incidentes.
Nuestros ingenieros de operaciones utilizan herramientas internas de seguimiento de incidentes para identificar, registrar, categorizar, priorizar, diagnosticar, resolver y cerrar incidentes y proporcionarle información actualizada sobre todas estas actividades a través de la consola AMS o mediante la API. Soporte Nuestros operadores, muchos de los cuales han trabajado en AWS Premium Support en distintos perfiles y funciones tecnológicas, utilizan una variedad de Soporte herramientas internas para ayudar en todas esas actividades. Estos operadores están muy familiarizados con las infraestructuras compatibles con AMS y tienen conocimientos técnicos de nivel experto para abordar todos los problemas de soporte identificados. En el raro caso de que nuestros operadores necesiten asistencia, los equipos de Soporte y AWS Servicio Premium están disponibles para ayudarlo según sea necesario.
En los casos en que los incidentes de alta prioridad estén afectando a sus cargas de trabajo críticas, AMS recomendará restaurar la infraestructura. Suele haber un equilibrio entre la solución de un problema o la restauración a partir de una copia de seguridad de funcionalidad comprobada, y los riesgos e impactos derivados del tiempo de inactividad del servicio para los clientes son los factores decisivos. Si dispones de tiempo para resolver problemas, AMS te ayudará, pero si la restauración es urgente, podemos iniciar una restauración de inmediato.
**nota**
Se pierden los datos efímeros que no forman parte de la plantilla de pila o de la restauración de datos. AMS hace todos los esfuerzos razonables para restaurar la infraestructura cuando las ofertas de AWS servicios no están disponibles. La restauración de la infraestructura se completa una vez que las ofertas de AWS servicios están disponibles.
Si no autorizas la restauración de la infraestructura según lo recomendado por AMS, no podrás recibir un crédito de servicio equivalente al compromiso de servicio de AMS por el tiempo de resolución de incidentes.
# Validación de conformidad
AMS implementa y administra una biblioteca de AWS Config reglas y medidas correctivas para protegerlo contra errores de configuración que podrían reducir la seguridad y la integridad operativa de sus cuentas.
Por ejemplo, cuando se crea un bucket de Amazon S3, AWS Config puede evaluar el bucket de Amazon S3 según una regla que exige que los buckets de Amazon S3 denieguen el acceso de lectura público. Si la política de buckets de Amazon S3 o la lista de control de acceso a los buckets (ACL) permiten el acceso de lectura AWS Config público, marcan tanto el bucket como la regla como no conformes. Estos Reglas de AWS Config marcan los recursos como conformes, no conformes o no aplicables, según el resultado de su evaluación. Para obtener más información sobre el AWS Config servicio, consulte la [Guía para AWS Config desarrolladores](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html).
Puede usar la AWS Config consola, la AWS CLI o la AWS Config API para ver las reglas implementadas en su cuenta y el estado de cumplimiento de sus reglas y recursos. Para obtener más información, consulte la AWS Config documentación: [Visualización del cumplimiento de la configuración](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html).
**nota**
Encontrará información adicional sobre este tema accediendo a los informes de AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html). Para acceder a AWS Artifact, puede ponerse en contacto con su CSDM para obtener instrucciones o ir a [Introducción a AWS](https://aws.amazon.com/artifact/getting-started) Artifact. Esta información no se incluye en esta guía del usuario porque contiene contenido de seguridad confidencial.
# Zona de destino multicuenta: visualización del estado de cumplimiento de su Reglas de AWS Config
La zona de aterrizaje multicuenta de AMS utiliza el servicio de AWS Config agregación para crear una visión centralizada del cumplimiento en todas sus cuentas. Esto significa que puedes ver el estado de conformidad de Reglas de AWS Config todo tu entorno de landing zone multicuenta de AMS en el AWS Config agregador de tu cuenta de seguridad.
El siguiente es un ejemplo del AWS Config agregador que muestra el estado de cumplimiento central de todas las cuentas. Reglas de AWS Config
![\[AWS Config dashboard showing compliant rules across regions and accounts.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/ams-malz-dd-agg-rules.png)
Para obtener más información, consulte la documentación de AWS de [Config Aggregator.](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
+ ¿Cómo usa AMS las reglas de AWS Config?
AMS Reglas de AWS Config las crea para dar visibilidad a la configuración de sus AWS recursos en función de las condiciones especificadas en las reglas. Si una regla no es conforme, puede solicitar un cambio y el equipo de operaciones de AMS trabajará con usted para tomar las medidas correctivas necesarias.
+ En ese caso, verás que aparecen los siguientes cambios en tus cuentas de AMS:
+ Reglas de AWS Config en AWS Config > Reglas
+ Las reglas de Config personalizadas con sus funciones Lambda existen en su cuenta
+ Config Aggregator en la cuenta de seguridad y Config Authorization en todas las cuentas (solo en la zona de destino multicuenta)
La siguiente es una muestra de los resultados de Reglas de AWS Config su evaluación de conformidad, que se muestran a continuación:
![\[Reglas de AWS Config dashboard showing compliant status for multiple security-related rules.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/ams-malz-dd-rules-2.png)
Para obtener más información sobre AWS Config, consulte:
+ AWS Config: [¿Qué es Config?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ Reglas de AWS Config: [evaluación de los recursos con reglas](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ Reglas de AWS Config: [Comprobación de conformidad dinámica: Reglas de AWS Config — Comprobación de conformidad dinámica para recursos en la nube](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/)
+ AWS Config Aggregator: agregación de datos [multicuenta y multirregión](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
# Restricciones de la política de control del servicio de landing zone multicuenta de AMS
Esta sección se ha redactado porque contiene información confidencial relacionada con la seguridad de AMS. **Esta información está disponible en la documentación de la consola AMS.** Para acceder a AWS Artifact, puede ponerse en contacto con su CSDM para obtener instrucciones o ir a [Introducción a AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
# Resiliencia
La infraestructura AWS global se basa en zonas de disponibilidad Regiones de AWS y zonas de disponibilidad. Regiones de AWS proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de uno o varios centros de datos.
[Para obtener más información sobre AWS las regiones y las zonas de disponibilidad, consulte la infraestructura global.AWS](https://aws.amazon.com/about-aws/global-infrastructure)
# Seguridad de la infraestructura
**nota**
Encontrará información adicional sobre este tema accediendo a los informes de AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html). Para acceder a AWS Artifact, puede ponerse en contacto con su CSDM para obtener instrucciones o ir a [Introducción a AWS](https://aws.amazon.com/artifact/getting-started) Artifact. Esta información no se incluye en esta guía del usuario porque contiene contenido de seguridad confidencial.
# Control de seguridad para sistemas end-of-support operativos
Los sistemas operativos que estén fuera del período de soporte general de la EOS o del fabricante end-of-support del sistema operativo y que no reciban actualizaciones de seguridad corren un mayor riesgo de seguridad.
AWS ofrece algunos servicios para ayudar a gestionar el sistema operativo end-of-support. Para obtener información acerca de Windows end-of-support, consulte [Programa de End-of-Support migración para Windows Server](https://aws.amazon.com/emp-windows-server/).
**nota**
Encontrará información adicional sobre este tema accediendo a los informes de AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html). Para acceder a AWS Artifact, puede ponerse en contacto con su CSDM para obtener instrucciones o ir a [Introducción a AWS](https://aws.amazon.com/artifact/getting-started) Artifact. Esta información no se incluye en esta guía del usuario porque contiene contenido de seguridad confidencial.
## Usar grupos de seguridad
Un grupo de seguridad funciona como un firewall virtual que controla el tráfico de una o varias instancias. Los grupos de seguridad AMS le permiten establecer reglas de tráfico entrante y saliente a nivel de instancia. Puede crear un grupo de seguridad y especificar recursos en su cuenta AMS, instancias de Amazon, EC2 instancias de base de datos de Amazon RDS, Load Balancers, instancias de replicación de Deep Security Manager (DSM), destinos de montaje de EFS y ElastiCache clústeres para asociarlos al grupo de seguridad. Una vez asociadas, el tráfico hacia o desde esas instancias está restringido por las reglas establecidas en el grupo de seguridad.
Para comprender mejor la seguridad general de AWS, consulte [Best Practices for Security, Identity and Compliance](https://aws.amazon.com/architecture/security-identity-compliance/) y [Amazon EC2 Security Groups for Linux Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html).
AMS ahora cuenta con un conjunto de tipos de cambios para crear y administrar grupos de seguridad:
+ Despliegue \$1 Componentes de pila avanzados \$1 Grupo de seguridad \$1 Crear (ct-1oxx2g2d7hc90)
+ Administración \$1 Componentes de pila avanzados \$1 Grupo de seguridad \$1 Eliminar (ct-3cp96z7r065e4)
+ Administración \$1 Componentes de pila avanzados \$1 Grupo de seguridad \$1 Actualización (ct-3memthlcmvc1b)
Para [ver ejemplos](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-sec-group-create-delete-update.html), consulte Grupos de seguridad.
# Grupos de seguridad
En AWS VPCs, los grupos de seguridad de AWS actúan como firewalls virtuales y controlan el tráfico de una o más pilas (una instancia o un conjunto de instancias). Cuando se lanza una pila, se asocia a uno o más grupos de seguridad, que determinan qué tráfico puede llegar a ella:
+ En el caso de las pilas de las subredes públicas, los grupos de seguridad predeterminados aceptan el tráfico de HTTP (80) y HTTPS (443) procedente de todas las ubicaciones (Internet). Las pilas también aceptan tráfico SSH y RDP interno de su red corporativa y de los bastiones de AWS. Luego, esas pilas pueden salir a Internet a través de cualquier puerto. También pueden salir a las subredes privadas y a otras pilas de la subred pública.
+ Las pilas de tus subredes privadas pueden salir a cualquier otra pila de tu subred privada, y las instancias de una pila pueden comunicarse completamente entre sí a través de cualquier protocolo.
**importante**
El grupo de seguridad predeterminado para las pilas de las subredes privadas permite que todas las pilas de la subred privada se comuniquen con otras pilas de esa subred privada. Si desea restringir las comunicaciones entre las pilas de una subred privada, debe crear nuevos grupos de seguridad que describan la restricción. Por ejemplo, si desea restringir las comunicaciones a un servidor de base de datos para que las pilas de esa subred privada solo puedan comunicarse desde un servidor de aplicaciones específico a través de un puerto específico, solicite un grupo de seguridad especial. En esta sección se describe cómo hacerlo.
## Grupos de seguridad predeterminados
------
#### [ MALZ ]
En la siguiente tabla se describe la configuración predeterminada del grupo de seguridad entrante (SG) para sus pilas. El SG se denomina «SentinelDefaultSecurityGroupPrivateOnly-VPC-ID» y es *ID* un ID de VPC en tu cuenta de zona de landing zone multicuenta de AMS. Se permite que todo el tráfico salga a «mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly» a través de este grupo de seguridad (se permite todo el tráfico local dentro de las subredes apiladas).
Un segundo grupo de seguridad "» permite que todo el tráfico salga a 0.0.0.0/0. SentinelDefaultSecurityGroupPrivateOnly
**sugerencia**
Si elige un grupo de seguridad para un tipo de cambio de AMS, como EC2 crear o OpenSearch crear un dominio, debe utilizar uno de los grupos de seguridad predeterminados que se describen aquí o un grupo de seguridad que haya creado. Puede encontrar la lista de grupos de seguridad, por VPC, en la consola de AWS o en la EC2 consola de VPC.
Hay otros grupos de seguridad predeterminados que se utilizan con fines internos de AMS.
**Grupos de seguridad predeterminados de AMS (tráfico entrante)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/about-security-groups.html)
------
#### [ SALZ ]
En la siguiente tabla se describe la configuración predeterminada del grupo de seguridad entrante (SG) para sus pilas. El SG se denomina «mc-initial-garden- SentinelDefaultSecurityGroupPrivateOnly -*ID*» y *ID* es un identificador único. Se permite que todo el tráfico salga a «mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly» a través de este grupo de seguridad (se permite todo el tráfico local dentro de las subredes apiladas).
Un segundo grupo de seguridad, "- -», permite que todo el tráfico salga a 0.0.0.0/0. mc-initial-garden SentinelDefaultSecurityGroupPrivateOnlyEgressAll *ID*
**sugerencia**
Si elige un grupo de seguridad para un tipo de cambio de AMS, como EC2 crear o OpenSearch crear un dominio, debe utilizar uno de los grupos de seguridad predeterminados que se describen aquí o un grupo de seguridad que usted haya creado. Puede encontrar la lista de grupos de seguridad, por VPC, en la consola de AWS o en la EC2 consola de VPC.
Hay otros grupos de seguridad predeterminados que se utilizan con fines internos de AMS.
**Grupos de seguridad predeterminados de AMS (tráfico entrante)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/about-security-groups.html)
------
## Crear, cambiar o eliminar grupos de seguridad
Puede solicitar grupos de seguridad personalizados. En los casos en que los grupos de seguridad predeterminados no satisfagan las necesidades de sus aplicaciones o de su organización, puede modificar o crear nuevos grupos de seguridad. Esta solicitud se consideraría necesaria para su aprobación y sería examinada por el equipo de operaciones de AMS.
Para crear un grupo de seguridad fuera de las pilas VPCs, envíe una RFC con el tipo de `Deployment | Advanced stack components | Security group | Create (review required)` cambio (ct-1oxx2g2d7hc90).
Para las modificaciones de los grupos de seguridad de Active Directory (AD), utilice los siguientes tipos de cambios:
+ Para añadir un usuario: envíe un RFC mediante Management \$1 Directory Service \$1 Usuarios y grupos \$1 Añadir usuario al grupo [ct-24pi85mjtza8k]
+ Para eliminar un usuario: envíe un RFC mediante Management \$1 Directory Service \$1 Users and groups \$1 Eliminar usuario del grupo [ct-2019s9y3nfml4]
**nota**
Cuando utilice la opción «revisión obligatoria» CTs, AMS recomienda que utilice la opción de **programación** lo antes posible (elija **ASAP** en la consola y deje en blanco la hora de inicio y finalización en la API/CLI), ya que CTs requiere que un operador de AMS examine la RFC y, posiblemente, se comunique con usted antes de que pueda aprobarse y ejecutarse. Si las programa RFCs, asegúrese de esperar al menos 24 horas. Si la aprobación no se produce antes de la hora de inicio programada, la RFC se rechaza automáticamente.
## Busque grupos de seguridad
Para buscar los grupos de seguridad adjuntos a una pila o instancia, utilice la EC2 consola. Tras encontrar la pila o la instancia, podrá ver todos los grupos de seguridad asociados a ella.
Para obtener información sobre cómo buscar grupos de seguridad en la línea de comandos y filtrar los resultados, consulte [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html).
# Biblioteca de controles preventivos y de detección AMS
AWS Managed Services (AMS) le proporciona una selección library/catalog de políticas de control de servicios comprobadas (SCPs) y ConfigRules que puede aprovechar para mejorar su postura de seguridad y mitigar las brechas de conformidad en sus cuentas de AMS.
**Topics**
+ [Reglas seleccionadas SCPs y Config](scp-library-compliance.md)
+ [Notificación personalizada para las reglas de Config](scp-lib-custom-notice.md)
# Reglas seleccionadas SCPs y Config
Reglas seleccionadas SCPs y de configuración para AMS Advanced.
+ **Políticas de control de servicios (SCPs)**: las que SCPs se proporcionan se suman a las de AMS predeterminadas.
Puede utilizar estos controles de biblioteca junto con los predeterminados para cumplir requisitos de seguridad específicos.
+ **Reglas de configuración**: Como medida de referencia, AMS recomienda aplicar paquetes de conformidad (consulte los paquetes de [conformidad](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html) en la AWS Config guía) además de las reglas de configuración de AMS predeterminadas (consulte AMS Artifacts para ver las reglas predeterminadas). Los paquetes de conformidad cubren la mayoría de los requisitos de conformidad y AWS los actualiza periódicamente.
Las reglas que se enumeran aquí se pueden usar para cubrir brechas específicas de cada caso de uso que no están cubiertas por los paquetes de conformidad
**nota**
A medida que las reglas y los paquetes de conformidad predeterminados de AMS se actualicen con el tiempo, es posible que veas duplicados de estas reglas.
AMS recomienda realizar una limpieza periódica de las Config Rules duplicadas en general.
En el caso de AMS Advanced, las reglas de configuración no deben utilizar correcciones automáticas (consulte [Remediar recursos de AWS no conformes mediante reglas de AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)) para evitar cambios. out-of-band
## SCP-AMS-001: Restrinja la creación de EBS
Impida la creación de volúmenes de EBS si no tiene el cifrado activado.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:CreateVolume",
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-002: Restringe el lanzamiento EC2
Impida el lanzamiento de una EC2 instancia si el volumen de EBS no está cifrado. Esto incluye denegar un EC2 lanzamiento sin cifrar, AMIs ya que este SCP también se aplica a los volúmenes raíz.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:volume/*",
"Effect": "Deny"
}
```
## SCP-ADV-001: Restrinja los envíos de RFC
Impida que las funciones de AMS predeterminadas envíen automatizaciones específicas, RFCs como **Crear VPC o Eliminar** **VPC**. Esto resulta útil si desea aplicar permisos más detallados a sus funciones federadas.
Por ejemplo, es posible que desee que la opción predeterminada sea `AWSManagedServicesChangeManagement Role` capaz de enviar la mayoría de las disponibles, RFCs excepto las que permiten la creación y eliminación de una VPC, la creación de subredes adicionales, la desconexión de una cuenta de aplicación y la actualización o eliminación de los proveedores de identidad de SAML:
## SCP-AMS-003: Restringe la creación de RDS en AMS EC2
Impida la creación de instancias de Amazon EC2 y RDS que no tengan etiquetas específicas y, al mismo tiempo, permita que el `AMS Backup IAM` rol predeterminado de AMS lo haga. Esto es necesario para la recuperación ante desastres o DR.
```
{
"Sid": "DenyRunInstanceWithNoOrganizationTag",
"Effect": "Deny",
"Action": [
"ec2:RunInstances",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
],
"Condition": {
"Null": {
"aws:RequestTag/organization": "true"
},
"StringNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam:::role/ams-backup-iam-role"
]
}
}
}
```
## SCP-AMS-004: Restringe las subidas a S3
Impida la carga de objetos S3 no cifrados.
```
{
"Sid": "DenyUnencryptedS3Uploads",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "*",
"Condition": {
"StringNotLike": {
"s3:x-amz-server-side-encryption": ["aws:kms", "AES256"]
},
"Null": {
"s3:x-amz-server-side-encryption": "false"
}
}
}
]
}
```
## SCP-AMS-005: Restringe el acceso a la API y a la consola
Impida el acceso a la consola y a la API de AWS para las solicitudes procedentes de direcciones IP incorrectas conocidas como cliente determinado InfoSec.
## SCP-AMS-006: Impide que la entidad de IAM elimine la cuenta de un miembro de la organización
Impedir que una AWS Identity and Access Management entidad elimine las cuentas de los miembros de la organización.
```
{
"Effect": "Deny",
"Action": ["organizations:LeaveOrganization"],
"Resource": ["*"]
}
```
## SCP-AMS-007: Impida compartir recursos con cuentas ajenas a su organización
Evite compartir recursos con cuentas externas ajenas a su AWS organización
```
{
"Effect": "Deny",
"Action": [
"ram:*"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"ram:AllowsExternalPrincipals": "true"
}
}
},
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
```
## SCP-AMS-008: Impida compartir con organizaciones o unidades organizativas () OUs
Impida compartir recursos con una and/or unidad organizativa de cuentas que esté en una organización.
```
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}",
"arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}"
]
}
}
}
```
## SCP-AMS-009: Impide que los usuarios acepten invitaciones para compartir recursos
Impida que las cuentas de los miembros acepten invitaciones AWS RAM para unirse a recursos compartidos. Esta API no admite ninguna condición y solo impide que se comparta contenido desde cuentas externas.
```
{
"Effect": "Deny",
"Action": ["ram:AcceptResourceShareInvitation"],
"Resource": ["*"]
}
```
## SCP-AMS-010: Impide las acciones de activación y desactivación de la región de la cuenta
Impida activar o desactivar nuevas AWS regiones para sus AWS cuentas.
```
{
"Effect": "Deny",
"Action": [
"account:EnableRegion",
"account:DisableRegion"
],
"Resource": "*"
}
```
## SCP-AMS-011: Impida las acciones de modificación de la facturación
Impida modificaciones en la configuración de facturación y pago.
```
{
"Effect": "Deny",
"Action": [
"aws-portal:ModifyBilling",
"aws-portal:ModifyAccount",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*"
}
```
## SCP-AMS-012: Impide la eliminación o modificación de datos específicos CloudTrails
Impida modificaciones en AWS CloudTrail senderos específicos.
```
{
"Effect": "Deny",
"Action": [
"cloudtrail:DeleteEventDataStore",
"cloudtrail:DeleteTrail",
"cloudtrail:PutEventSelectors",
"cloudtrail:PutInsightSelectors",
"cloudtrail:UpdateEventDataStore",
"cloudtrail:UpdateTrail",
"cloudtrail:StopLogging"
],
"Resource": [
"arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}"
]
}
```
## SCP-AMS-013: Impide la desactivación del cifrado EBS predeterminado
Impida la desactivación del cifrado predeterminado de Amazon EBS.
```
{
"Effect": "Deny",
"Action": [
"ec2:DisableEbsEncryptionByDefault"
],
"Resource": "*"
}
```
## SCP-AMS-014: Impedir la creación de una VPC y una subred predeterminadas
Impida la creación de una Amazon VPC y subredes predeterminadas.
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc"
],
"Resource": "*"
}
```
## SCP-AMS-015: Impide la desactivación y la modificación GuardDuty
Evita que Amazon GuardDuty se modifique o desactive.
```
{
"Effect": "Deny",
"Action": [
"guardduty:AcceptInvitation",
"guardduty:ArchiveFindings",
"guardduty:CreateDetector",
"guardduty:CreateFilter",
"guardduty:CreateIPSet",
"guardduty:CreateMembers",
"guardduty:CreatePublishingDestination",
"guardduty:CreateSampleFindings",
"guardduty:CreateThreatIntelSet",
"guardduty:DeclineInvitations",
"guardduty:DeleteDetector",
"guardduty:DeleteFilter",
"guardduty:DeleteInvitations",
"guardduty:DeleteIPSet",
"guardduty:DeleteMembers",
"guardduty:DeletePublishingDestination",
"guardduty:DeleteThreatIntelSet",
"guardduty:DisableOrganizationAdminAccount",
"guardduty:DisassociateFromMasterAccount",
"guardduty:DisassociateMembers",
"guardduty:InviteMembers",
"guardduty:StartMonitoringMembers",
"guardduty:StopMonitoringMembers",
"guardduty:TagResource",
"guardduty:UnarchiveFindings",
"guardduty:UntagResource",
"guardduty:UpdateDetector",
"guardduty:UpdateFilter",
"guardduty:UpdateFindingsFeedback",
"guardduty:UpdateIPSet",
"guardduty:UpdateMalwareScanSettings",
"guardduty:UpdateMemberDetectors",
"guardduty:UpdateOrganizationConfiguration",
"guardduty:UpdatePublishingDestination",
"guardduty:UpdateThreatIntelSet"
],
"Resource": "*"
}
```
## SCP-AMS-016: Impide la actividad de los usuarios root
Impida que el usuario root realice cualquier acción.
```
{
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:root"
]
}
}
}
```
## SCP-AMS-017: Impide la creación de claves de acceso para el usuario root
Impida la creación de claves de acceso para el usuario root.
```
{
"Effect": "Deny",
"Action": "iam:CreateAccessKey",
"Resource": "arn:aws:iam::*:root"
}
```
## SCP-AMS-018: Impide deshabilitar el bloqueo de acceso público de la cuenta S3
Evite deshabilitar el bloqueo de acceso público de una cuenta Amazon S3. Esto evita que cualquier segmento de la cuenta pase a ser público.
```
{
"Effect": "Deny",
"Action": "s3:PutAccountPublicAccessBlock",
"Resource": "*"
}
```
## SCP-AMS-019: Impedir la desactivación de AWS Config o la modificación de las reglas de Config
Impida la desactivación o modificación AWS Config de las reglas.
```
{
"Effect": "Deny",
"Action": [
"config:DeleteConfigRule",
"config:DeleteConfigurationRecorder",
"config:DeleteDeliveryChannel",
"config:DeleteEvaluationResults",
"config:StopConfigurationRecorder"
],
"Resource": "*"
}
```
## SCP-AMS-020: Impide todas las acciones de IAM
Impida todas las acciones de IAM.
```
{
"Effect": "Deny",
"Action": [
"iam:*"
],
"Resource": "*"
}
```
## SCP-AMS-021: Impida la eliminación de registros, grupos y transmisiones CloudWatch
Evita que se eliminen grupos y transmisiones de Amazon CloudWatch Logs.
```
{
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": "*"
}
```
## SCP-AMS-022: Impide la eliminación de Glacier
Impida la eliminación de Amazon Glacier.
```
{
"Effect": "Deny",
"Action": [
"glacier:DeleteArchive",
"glacier:DeleteVault"
],
"Resource": "*"
}
```
## SCP-AMS-023: Impida la eliminación del IAM Access Analyzer
Impida la eliminación del IAM Access Analyzer.
```
{
"Action": [
"access-analyzer:DeleteAnalyzer"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-024: Impedir modificaciones en el Security Hub
Impida la eliminación de AWS Security Hub CSPM.
```
{
"Action": [
"securityhub:DeleteInvitations",
"securityhub:DisableSecurityHub",
"securityhub:DisassociateFromMasterAccount",
"securityhub:DeleteMembers",
"securityhub:DisassociateMembers"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-025: Impedir la eliminación en Directory Service
Impida la eliminación de los recursos de Directory Service.
```
{
"Action": [
"ds:DeleteDirectory",
"ds:DeleteLogSubscription",
"ds:DeleteSnapshot",
"ds:DeleteTrust",
"ds:DeregisterCertificate",
"ds:DeregisterEventTopic",
"ds:DisableLDAPS",
"ds:DisableRadius",
"ds:DisableSso",
"ds:UnshareDirectory"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-026: Impida el uso de un servicio excluido
Impida el uso de servicios que figuran en la lista denegada.
**nota**
Sustituya *service1* y por *service2* sus nombres de servicio. Ejemplo *access-analyzer* o*IAM*.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"]
}
```
## SCP-AMS-027: Impedir el uso de un servicio excluido en regiones específicas
Impida el uso de servicios que figuran en la lista de personas excluidas en regiones específicas. AWS
**nota**
Sustituya *service1* y por *service2* los nombres de sus servicios. Ejemplo *access-analyzer* o*IAM*.
Sustituya *region1* y *region2* por sus nombres de servicio. Ejemplo *us-west-2* o*use-east-1*.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"],
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"region1",
"region2"
]
}
}
}
```
## SCP-AMS-028: Impide que las etiquetas sean modificadas excepto por directores autorizados
Impida que cualquier usuario modifique las etiquetas, excepto los directores autorizados. Utilice etiquetas de autorización para autorizar a los directores. Las etiquetas de autorización deben estar asociadas a los recursos y a los directores. A solo user/role se considera autorizada si la etiqueta del recurso y la principal coinciden. Para obtener más información, consulte los siguientes recursos:
+ [Proteger las etiquetas de recursos utilizadas para la autorización mediante una política de control de servicios en AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/)
+ [Impida que las etiquetas se modifiquen excepto por parte de responsables autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"ec2:ResourceTag/access-project": false
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"access-project"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"aws:PrincipalTag/access-project": true
}
}
}
```
## SCP-AMS-029: Impedir que los usuarios eliminen los registros de flujo de Amazon VPC
Impida la eliminación de los registros de flujo de Amazon VPC.
```
{
"Action": [
"ec2:DeleteFlowLogs",
"logs:DeleteLogGroup",
"logs:DeleteLogStream",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutLifecycleConfiguration",
"firehose:DeleteDeliveryStream"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-030: Impedir compartir la subred de VPC con una cuenta que no sea la cuenta de red
Impida compartir las subredes de Amazon VPC con cuentas distintas de la cuenta de red.
**nota**
*NETWORK\$1ACCOUNT\$1ID*Sustitúyalo por el ID de su cuenta de red.
```
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": "NETWORK_ACCOUNT_ID"
},
"StringEquals": {
"ram:RequestedResourceType": "ec2:Subnet"
}
}
}
```
## SCP-AMS-031: Impida el lanzamiento de instancias con tipos de instancias prohibidos
Impida el lanzamiento de tipos de EC2 instancias de Amazon prohibidos.
**nota**
Sustituya *instance\$1type1* y *instance\$1type2* por los tipos de instancias que desee restringir, por ejemplo, *t2.micro* o por una cadena comodín, por ejemplo. *\$1.nano*
```
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"ec2:InstanceType": [
"instance_type1",
"instance_type2"
]
}
}
}
```
## SCP-AMS-032: Impide el lanzamiento de instancias sin IMDSv2
Evite las EC2 instancias de Amazon sin IMDSv2.
```
[
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringNotEquals": {
"ec2:MetadataHttpTokens": "required"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"NumericGreaterThan": {
"ec2:MetadataHttpPutResponseHopLimit": "3"
}
}
},
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NumericLessThan": {
"ec2:RoleDelivery": "2.0"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:ModifyInstanceMetadataOptions",
"Resource": "*"
}
]
```
## SCP-AMS-033: Impide que se modifique una función específica de IAM
Impida que se modifiquen funciones de IAM específicas.
```
{
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:TagRole",
"iam:UntagRole",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## SCP-AMS-034: Impide la modificación de funciones específicas de IAM AssumeRolePolicy
Impida que se modifiquen las cuatro AssumeRolePolicy funciones de IAM especificadas.
```
{
"Action": [
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## ConfigRule: Etiquetas obligatorias
Comprueba si EC2 las instancias tienen las etiquetas personalizadas que has necesitado. Además InfoSec, esto también es útil para la gestión de costes
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the required tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
```
## ConfigRule: La clave de acceso está girada
Compruebe que las claves de acceso se estén rotando dentro del período de tiempo especificado. Por lo general, se establece en 90 días según los requisitos de conformidad típicos.
```
ConfigRuleName: access-keys-rotated
Description: >-
A config rule that checks whether the active access keys are rotated
within the number of days specified in maxAccessKeyAge. The rule is
NON_COMPLIANT if the access keys have not been rotated for more than
maxAccessKeyAge number of days.
InputParameters:
maxAccessKeyAge: '90'
Source:
Owner: AWS
SourceIdentifier: ACCESS_KEYS_ROTATED
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: clave de acceso raíz de IAM en AMS
Compruebe que la clave de acceso raíz no esté presente en la cuenta. En el caso de las cuentas AMS Advanced, se espera que sea compatible out-of-the-box.
```
ConfigRuleName: iam-root-access-key-check
Description: >-
A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist.
Source:
Owner: AWS
SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: gestionado por SSM EC2
Compruebe que EC2s está siendo gestionado por SSM Systems Manager.
```
ConfigRuleName: ec2-instance-managed-by-systems-manager
Description: >-
A Config rule that checks whether the EC2 instances in the
account are managed by AWS Systems Manager.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
- 'AWS::SSM::ManagedInstanceInventory'
Source:
Owner: AWS
SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
```
## ConfigRule: Usuario de IAM no utilizado en AMS
Compruebe si hay credenciales de usuario de IAM que no se hayan utilizado durante un período específico. Al igual que la comprobación de rotación de claves, esta suele tener un valor predeterminado de 90 días según los requisitos de conformidad típicos.
```
ConfigRuleName: iam-user-unused-credentials-check
Description: >-
A config rule that checks whether IAM users have passwords
or active access keys that have not been used within the
specified number of days provided.
InputParameters:
maxCredentialUsageAge: '90'
Source:
Owner: AWS
SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: registro de cubos en S3
Comprueba que el registro esté habilitado para los depósitos de S3 de la cuenta.
```
ConfigRuleName: s3-bucket-logging-enabled
Description: >-
A Config rule that checks whether logging is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
```
## ConfigRule: Control de versiones de cubos de S3
Compruebe que el control de versiones y la eliminación de MFA (opcional) estén habilitados en todos los buckets de S3
```
ConfigRuleName: s3-bucket-versioning-enabled
Description: >-
A Config rule that checks whether versioning is enabled for S3
buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
```
## ConfigRule: Acceso público a S3
Comprueba que la configuración de acceso público (ACL pública, política pública, buckets públicos) esté restringida en toda la cuenta
```
ConfigRuleName: s3-account-level-public-access-blocks
Description: >-
A Config rule that checks whether the required public access block
settings are configured from account level. The rule is only
NON_COMPLIANT when the fields set below do not match the corresponding
fields in the configuration item.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::AccountPublicAccessBlock'
InputParameters:
IgnorePublicAcls: 'True'
BlockPublicPolicy: 'True'
BlockPublicAcls: 'True'
RestrictPublicBuckets: 'True'
Source:
Owner: AWS
SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
```
## ConfigRule: Hallazgos no archivados GuardDuty
Compruebe si hay GuardDuty hallazgos no archivados que tengan una duración superior a la especificada. La duración predeterminada es de 30 días para los resultados de baja resolución, 7 días para los de media y de 1 día para los de alta.
```
ConfigRuleName: guardduty-non-archived-findings
Description: >-
A Config rule that checks whether the Amazon GuardDuty has findings that
are non archived. The rule is NON_COMPLIANT if GuardDuty has non
archived low/medium/high severity findings older than the specified number.
InputParameters:
daysLowSev: '30'
daysMediumSev: '7'
daysHighSev: '1'
Source:
Owner: AWS
SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: Eliminación de CMK
Compruebe si hay claves maestras AWS Key Management Service personalizadas (CMKs) cuya eliminación esté programada (también conocida como pendiente). Esto es crucial, ya que el hecho de no darse cuenta de la eliminación de la CMK puede provocar que los datos sean irrecuperables
```
ConfigRuleName: kms-cmk-not-scheduled-for-deletion
Description: >-
A config rule that checks whether customer master keys (CMKs) are not
scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is
NON_COMPLIANT if CMKs are scheduled for deletion.
Source:
Owner: AWS
SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: Rotación CMK
Comprueba que la rotación automática esté habilitada para cada CMK de la cuenta
```
ConfigRuleName: cmk-backing-key-rotation-enabled
Description: >-
A config rule that checks that key rotation is enabled for each customer
master key (CMK). The rule is COMPLIANT, if the key rotation is enabled
for specific key object. The rule is not applicable to CMKs that have
imported key material.
Source:
Owner: AWS
SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
MaximumExecutionFrequency: TwentyFour_Hours
```
# Notificación personalizada para las reglas de Config
Es posible que se produzcan casos de reglas de Config críticas que no cumplan con las normas y que requieran una mayor sensibilización directamente con sus equipos InfoSec y con los de liderazgo. En estos casos, AMS recomienda configurar una notificación personalizada basada en eventos de incumplimiento.
Por ejemplo:
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the mandated tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
NotificationEventRule:
Type: 'AWS::Events::Rule'
Properties:
Name: CWEventForrequired-tags
Description: >-
SNS Notification for Non-Compliant Events of Config Rule:
required-tags
State: ENABLED
EventPattern:
detail-type:
- Config Rules Compliance Change
source:
- aws.config
detail:
newEvaluationResult:
complianceType:
- NON_COMPLIANT
configRuleARN:
- 'Fn::GetAtt':
- RequiredEC2Tags
- Arn
Targets:
- Id: RemediationNotification
Arn:
Ref: SnsTopic
InputTransformer:
InputTemplate: >-
"EC2 Instance is non-compliant. Please add required tags: COST_CENTER, APP_ID, Name, and Backup."
InputPathsMap:
instance_id: $.detail.resourceId
SnsTopic:
Type: 'AWS::SNS::Topic'
Properties:
Subscription:
- Endpoint: Cloud_Ops_Leaders@customer.com
Protocol: email
TopicName: noncompliant-instance-notification
SnsTopicPolicy:
Type: 'AWS::SNS::TopicPolicy'
Properties:
PolicyDocument:
Statement:
- Sid: __default_statement_ID
Effect: Allow
Principal:
AWS: '*'
Action:
- 'SNS:GetTopicAttributes'
- 'SNS:SetTopicAttributes'
- 'SNS:AddPermission'
- 'SNS:RemovePermission'
- 'SNS:DeleteTopic'
- 'SNS:Subscribe'
- 'SNS:ListSubscriptionsByTopic'
- 'SNS:Publish'
- 'SNS:Receive'
Resource:
Ref: SnsTopic
Condition:
StringEquals:
'AWS:SourceOwner':
Ref: 'AWS::AccountId'
- Sid: TrustCWEToPublishEventsToMyTopic
Effect: Allow
Principal:
Service: events.amazonaws.com
Action: 'sns:Publish'
Resource:
Ref: SnsTopic
Topics:
- Ref: SnsTopic
```
# Función vinculada al servicio de EventBridge reglas de Amazon para AMS Advanced
AMS Advanced usa el rol vinculado a servicios (SLR) denominado **AWSServiceRoleForManagedServices\$1Events**: este rol confía en que uno de los directores del servicio de AWS Managed Services (events.managedservices.amazonaws.com) asuma el rol por usted. El servicio usa el rol para crear una regla administrada. EventBridge Esta regla es la infraestructura necesaria en su AWS cuenta para enviar información sobre el cambio de estado de alarma de su cuenta a AWS Managed Services.
## Permisos de EventBridge SLR para AMS Advanced
El rol vinculado al servicio **AWSServiceRoleForManagedServices\$1Events** depende de los siguientes servicios para asumir el rol:
+ events.managedservices.amazonaws.com
Esta función incluye la política **AWSManagedServices\$1EventsServiceRolePolicy** AWS administrada (consulte la [política administrada de AWS: AWSManagedServices\$1EventsServiceRolePolicy](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html#EventsServiceRolePolicy)). El servicio utiliza la función para enviar información sobre el cambio de estado de alarma de su cuenta a AWS Managed Services. Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la Guía del usuario de *AWS Identity and Access Management*.
[Puede descargar el JSON **AWSManagedServices\$1EventsServiceRolePolicy**en este ZIP: EventsServiceRolePolicy .zip.](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/samples/EventsServiceRolePolicy.zip)
## Creación de una cámara EventBridge réflex para AMS Advanced
No necesita crear manualmente un rol vinculado a servicios. Cuando se incorpora a AMS en la consola AWS de administración AWS CLI, la o la AWS API, AMS Advanced crea automáticamente la función vinculada al servicio.
**importante**
Este rol vinculado al servicio puede aparecer en su cuenta si utilizaba el servicio AMS Advanced antes del 7 de febrero de 2023, cuando comenzó a admitir funciones vinculadas al servicio y, posteriormente, AMS Accelerate creó el rol en su cuenta. AWSServiceRoleForManagedServices\$1Events Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando te incorporas a AMS, AMS Advanced vuelve a crear el rol vinculado al servicio para ti.
## Edición de una cámara EventBridge réflex para AMS Advanced
AMS Advanced no permite editar el rol vinculado al AWSServiceRoleForManagedServices\$1Events servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar una EventBridge SLR para AMS Advanced
No es necesario eliminar manualmente el rol de AWSServiceRoleForManagedServices\$1Events . Cuando te desconectas de AMS en la consola AWS de administración, la AWS API AWS CLI o la consola, AMS Advanced limpia los recursos y elimina automáticamente la función vinculada al servicio.
También puede utilizar la consola de IAM AWS CLI o la AWS API para eliminar manualmente el rol vinculado al servicio. Para ello, primero debe limpiar manualmente los recursos del rol vinculado al servicio para poder eliminarlo después manualmente.
**nota**
Si el servicio AMS Advanced utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de AMS Advanced **utilizados por el rol AWSServiceRoleForManagedServices\$1Events vinculado al servicio****
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForManagedServices\$1Events servicio.
Para obtener más información, consulte [Eliminación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
# Prácticas recomendadas de seguridad
Esta sección se ha redactado porque contiene información confidencial relacionada con la seguridad de AMS. **Esta información está disponible en la documentación de la consola AMS.** Para acceder a AWS Artifact, puede ponerse en contacto con su CSDM para obtener instrucciones o ir a [Introducción a AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
## Configuración no predeterminada del EPS de la zona de landing zone multicuenta de AMS
Esta sección se ha redactado porque contiene información confidencial relacionada con la seguridad de AMS. **Esta información está disponible en la documentación de la consola AMS.** Para acceder a AWS Artifact, puede ponerse en contacto con su CSDM para obtener instrucciones o ir a [Introducción a AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
## Barandillas AMS
Una barandilla es una regla de alto nivel que proporciona un control continuo del entorno AMS en general.
Esta sección se ha redactado porque contiene información confidencial relacionada con la seguridad de AMS. **Esta información está disponible en la documentación de la consola AMS.** Para acceder a AWS Artifact, puede ponerse en contacto con su CSDM para obtener instrucciones o ir a [Introducción a AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
## Políticas de control del servicio MALZ
Esta sección se ha redactado porque contiene información confidencial relacionada con la seguridad de AMS. **Esta información está disponible en la documentación de la consola AMS.** Para acceder a AWS Artifact, puede ponerse en contacto con su CSDM para obtener instrucciones o ir a [Introducción a AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
# Respuesta a incidentes de seguridad en AMS
La seguridad es la principal prioridad de AWS Managed Services (AMS). AMS despliega recursos y controles en sus cuentas para administrarlas. AWS tiene un modelo de responsabilidad compartida: AWS gestiona la seguridad de la nube y usted es responsable de la seguridad en la nube. AMS protege sus datos y activos y ayuda a mantener su AWS infraestructura segura mediante el uso de controles de seguridad y una supervisión activa para detectar problemas de seguridad. Estas capacidades le ayudan a establecer una base de seguridad para las aplicaciones que se ejecutan en la AWS nube. AMS colabora con usted a través de la respuesta a incidentes de seguridad para evaluar el efecto y, luego, llevar a cabo la contención y las remediaciones en función de las recomendaciones de mejores prácticas.
Cuando se produce una desviación de la línea base, por ejemplo, debido a un error de configuración o a un cambio en factores externos, es necesario responder e investigar. Para hacerlo correctamente, debe comprender los conceptos básicos de la respuesta a incidentes de seguridad en su entorno AMS. También debe comprender los requisitos para preparar, formar y capacitar a los equipos de nube antes de que se produzcan problemas de seguridad. Es importante conocer los controles y las capacidades que puede utilizar, preparar planes de respuesta para los problemas de seguridad más comunes, como una cuenta de usuario comprometida o el uso indebido de cuentas privilegiadas, e identificar métodos de corrección que utilicen la automatización para mejorar la velocidad y la coherencia de la respuesta. Además, debe comprender sus requisitos normativos y de cumplimiento en lo que respecta a la creación de un programa de respuesta a incidentes de seguridad que cumpla con esos requisitos.
La respuesta a los incidentes de seguridad puede ser compleja, pero si se implementa un enfoque iterativo, se puede simplificar el proceso y permitir que el equipo de respuesta a incidentes mantenga satisfechos a las partes interesadas de los activos al proporcionar una detección y respuesta tempranas y continuas. En esta guía, le proporcionamos la metodología que utiliza AMS para la respuesta a incidentes, la matriz de responsabilidad de AMS (RACI), cómo puede prepararse para un incidente de seguridad, cómo interactuar con AMS durante los incidentes de seguridad y algunos de los manuales de respuesta a incidentes que utiliza AMS.
# Cómo funciona la respuesta a incidentes de seguridad de AMS
AWS Managed Services se ajusta a la [Guía de gestión de incidentes de seguridad informática NIST 800-61 para la respuesta a incidentes](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final) de seguridad. Al cumplir con este estándar del sector, ofrecemos un enfoque coherente para la gestión de eventos de seguridad y seguimos las mejores prácticas para proteger y responder a los incidentes de seguridad en la nube.
![\[Ciclo de vida de la respuesta\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/sec-inc-response-1.png)
**Ciclo vital de respuesta a incidentes**
Cuando la detección identifica y genera una alerta de seguridad, o si solicita asistencia de seguridad, el equipo de operaciones de AWS Managed Services se asegura de que se lleva a cabo una investigación a tiempo, ejecuta automatizaciones para realizar la recopilación, clasificación y análisis de datos, le informa del análisis, lleva a cabo la investigación y cualquier actividad de contención y, a continuación, publica el análisis de los eventos.
Las actividades de recopilación, clasificación, análisis y contención de datos que se llevan a cabo durante la respuesta al incidente varían en función del tipo de incidente de seguridad que se investigue. Al final de este documento, encontrará ejemplos de flujos de trabajo de respuesta a incidentes de seguridad para escenarios seleccionados.
Durante los incidentes, AMS determina el curso de acción correcto de forma dinámica, lo que puede provocar que los pasos documentados se reordenen o se omitan según corresponda para garantizar que se obtenga el resultado correcto.
# Preparación
A medida que el panorama de amenazas evoluciona, AMS sigue ampliando sus capacidades de detección y respuesta. A medida que se añaden nuevas detecciones, AMS incorpora las alertas de estas nuevas detecciones a la plataforma de detección y respuesta. Los equipos de seguridad de AMS están capacitados para investigar y colaborar con usted durante todo el ciclo de vida de la respuesta a los incidentes de seguridad.
Debido a este enfoque de asociación, es importante que sus equipos de seguridad y aplicaciones estén preparados para colaborar con AMS para gestionar los eventos de seguridad a medida que se produzcan. Esta documentación explica qué esperar durante un incidente de seguridad y le ayuda a prepararse para una respuesta rápida en caso de que se produzca un incidente de seguridad.
Esta documentación utiliza la definición 800-61 del NIST de un **evento** como cualquier suceso observable en un sistema o una red y un **incidente** como una infracción o amenaza inminente de violación de las políticas, las políticas de uso aceptable o las prácticas de seguridad estándar.
## Lista de verificación de preparación
Realice la siguiente lista de verificación con su administrador de entrega de soluciones en la nube (CSDM) de AMS y su arquitecto de nube (CA) de AMS:
+ Comprenda qué cargas de trabajo se ejecutan en qué cuentas.
+ Comprenda qué equipos internos son responsables de las distintas cargas de trabajo y etiquételos adecuadamente en las cargas de trabajo.
+ Conserve internamente los datos de contacto de otros equipos que puedan ser necesarios durante la investigación de un incidente de seguridad y para tomar decisiones de contención.
+ Confirma que los contactos de seguridad estén actualizados y se hayan agregado a todas las AWS cuentas gestionadas. Los contactos se administran por cuenta.
+ Sepa cómo denunciar un incidente de seguridad a AMS y familiarícese con la gravedad y los tiempos de respuesta esperados.
+ Asegúrese de que, cuando reciba las notificaciones de seguridad, se envíen a las personas y los sistemas adecuados, como los buscapersonas o el centro de operaciones de seguridad.
+ Sepa qué fuentes de registro tiene a su disposición, dónde se almacenan en sus cuentas y quién tiene acceso a ellas.
+ Aprenda a utilizar CloudWatch Insights para consultar los registros durante las investigaciones.
+ Comprenda las opciones de contención disponibles por recurso (IAM, S3EC2, etc.) y las consecuencias en la disponibilidad de la carga de trabajo cuando se encuentra en situación de contención.
# Detect
Durante la administración de sus AWS cuentas, AMS supervisa las anomalías en el comportamiento de los usuarios, las actividades de las cuentas y los posibles eventos de seguridad mediante los datos recopilados de las fuentes y los controles de detección, incluidos, entre otros, Amazon, GuardDuty VPC Flow Logs, CloudWatch Amazon Macie y los feeds internos de Threat Intelligence de AWS Config Amazon.
AMS utiliza AWS servicios nativos y otras tecnologías de detección para responder a los eventos de seguridad creados por:
+ Config: tipos de búsqueda de conformidad
+ GuardDuty Búsqueda de tipos
+ Tipos de búsqueda de Macie
+ Eventos del firewall DNS de Amazon Route 53 Resolver
+ Eventos de seguridad de AMS (alarmas de vigilancia en la nube)
Se añaden nuevos hallazgos a medida que evolucionan los servicios, los productos y los ecosistemas de amenazas.
## Informe sobre los eventos de seguridad a AMS
Presente un incidente a través del portal o Soporte centro de soporte de AMS para notificar a AMS de un incidente de seguridad o solicitar una investigación.
# Análisis
Tras identificar e informar de un suceso de seguridad, el siguiente paso consiste en analizar si se trata de un falso positivo o de un incidente real. AMS utiliza técnicas automatizadas y de investigación manual para gestionar los eventos de seguridad. El análisis incluye la investigación de los registros de diferentes fuentes de detección, como los registros de tráfico de red, los registros del host, CloudTrail los eventos, los registros de AWS servicio, etc. El análisis también busca patrones que muestren un comportamiento anómalo por correlación.
Su colaboración es necesaria para comprender el contexto específico del entorno de la cuenta y establecer lo que es normal para su cuenta y sus cargas de trabajo. Esto ayuda a AMS a identificar una anomalía más rápido y a acelerar la respuesta a los incidentes.
## Gestione las comunicaciones de AMS sobre eventos de seguridad
AMS lo mantiene informado durante la investigación al contactar con sus contactos de seguridad mediante una denuncia de incidente. El administrador de prestación de servicios en la nube de AMS (CSDM) y el arquitecto de la nube (CA) de AMS son los puntos de contacto a los que acudir para cualquier tipo de comunicación durante una investigación de seguridad activa.
La comunicación incluye la notificación automática cuando se genera una alerta de seguridad, la comunicación después del análisis del evento, el establecimiento de puentes de llamadas y la entrega continua de artefactos como archivos de registro, una instantánea de los recursos infectados y la obtención de los resultados de las investigaciones durante el evento de seguridad.
Los campos estándar incluidos en las notificaciones de alerta de seguridad de AMS se enumeran a continuación. Estos campos le proporcionan información para que pueda remitir los eventos a los equipos correspondientes de su organización para que los corrijan.
+ Tipo de búsqueda
+ Identificador de búsqueda (cuando proceda)
+ Detectar la gravedad
+ Descripción del hallazgo
+ Buscando la fecha y hora de creación
+ AWS ID de cuenta
+ Región (si procede)
+ AWS Recursos (IAMuser/role/policy, S3 EC2, EKS)
Se proporcionan campos adicionales según el tipo de hallazgo; por ejemplo, los hallazgos de EKS incluyen detalles del pod, el contenedor y el clúster.
# Contención
El enfoque de AMS en materia de contención consiste en asociarse con usted. Usted comprende el impacto en su empresa y en la carga de trabajo que pueden derivarse de las actividades de contención, como el aislamiento de la red, el desaprovisionamiento de usuarios o roles de IAM, la reconstrucción de instancias, etc.
Una parte esencial de la contención es la toma de decisiones. Por ejemplo, apague un sistema, aísle un recurso de la red o desactive el acceso o finalice las sesiones. Estas decisiones son más fáciles de tomar si existen estrategias y procedimientos predeterminados para contener el incidente. AMS proporciona la estrategia de contención y, a continuación, implementa la solución después de haber considerado el riesgo que implica la implementación de las acciones de contención.
Existen diferentes opciones de contención en función de los recursos que se analicen. AMS espera que se desplieguen varios tipos de contención simultáneamente durante la investigación de un incidente. Algunos de estos ejemplos incluyen:
+ Aplique reglas de protección para bloquear el tráfico no autorizado (grupo de seguridad, NACL, reglas WAF, reglas SCP, denegar la inclusión en la lista, establecer una acción de firma en cuarentena o bloqueo)
+ Aislamiento de recursos
+ Aislamiento de red
+ Inhabilitar los usuarios, las funciones y las políticas de IAM
+ Modificar o reducir el privilegio de usuario y rol de IAM
+ Terminación, suspensión o eliminación de recursos informáticos
+ Restringir el acceso público desde el recurso afectado
+ Claves de acceso, claves de API y contraseñas rotativas
+ Eliminar las credenciales divulgadas y la información confidencial
AMS lo alienta a considerar el tipo de estrategias de contención para cada tipo de incidente grave que esté dentro de sus posibilidades de riesgo, con criterios claramente documentados que ayuden a la toma de decisiones en caso de que se produzca un incidente. Los criterios para determinar la estrategia adecuada incluyen:
+ Posibles daños a los recursos
+ Preservación de las pruebas
+ Falta de disponibilidad del servicio (por ejemplo, conectividad de red, servicios prestados a terceros)
+ Tiempo y recursos necesarios para implementar la estrategia
+ Efectividad de la estrategia (por ejemplo, contención parcial, contención total)
+ Permanencia de la solución (por ejemplo, decisiones entre puertas unidireccionales y puertas bidireccionales)
+ Duración de la solución (por ejemplo, una solución alternativa de emergencia que se eliminará en cuatro horas, una solución temporal que se eliminará en dos semanas o una solución permanente).
+ Aplique controles de seguridad que pueda activar para reducir el riesgo y disponer de tiempo para definir e implementar una contención más eficaz.
La velocidad de la contención es fundamental, por lo que AMS recomienda adoptar un enfoque gradual para lograr una contención eficiente y eficaz mediante la elaboración de estrategias a corto y largo plazo.
Utilice esta guía para considerar su estrategia de contención, que incluye diferentes técnicas según el tipo de recurso.
+ Estrategia de contención
+ ¿Puede AMS identificar el alcance del incidente de seguridad?
+ En caso afirmativo, identifique todos los recursos (usuarios, sistemas, recursos).
+ En caso contrario, investigue en paralelo mientras ejecuta el siguiente paso en los recursos identificados.
+ ¿Se puede aislar el recurso?
+ En caso afirmativo, proceda a aislar los recursos afectados.
+ En caso contrario, colabore con los propietarios y administradores del sistema para determinar las medidas adicionales necesarias para contener el problema.
+ ¿Están todos los recursos afectados aislados de los no afectados?
+ En caso afirmativo, continúe con el siguiente paso.
+ Si no, continúe aislando los recursos afectados hasta que se logre contenerlos a corto plazo para evitar que el incidente se agrave aún más.
+ Backup del sistema
+ ¿Se crearon copias de seguridad de los sistemas afectados para su posterior análisis?
+ ¿Están las copias forenses cifradas y almacenadas en una ubicación segura?
+ En caso afirmativo, continúe con el siguiente paso.
+ En caso contrario, cifre las imágenes forenses y almacénelas en una ubicación segura para evitar el uso accidental, los daños y las manipulaciones.
# Erradicación
Una vez contenido un incidente, puede ser necesario erradicarlo para eliminar por completo las fuentes de amenaza y proteger el sistema antes de pasar a la siguiente fase de recuperación. Las medidas de erradicación podrían incluir eliminar el malware y eliminar las cuentas de usuario comprometidas, así como identificar y mitigar todas las vulnerabilidades que se explotaron. Durante la erradicación, es importante identificar todas las cuentas, los recursos y las instancias afectadas del entorno para poder solucionarlas.
Se recomienda que la erradicación y la recuperación se realicen de forma gradual, de modo que se prioricen las medidas de remediación. En el caso de los incidentes a gran escala, la recuperación puede llevar meses. La intención de las primeras fases debe ser aumentar la seguridad general con cambios de gran valor relativamente rápidos (días o semanas) para evitar futuros incidentes. Las fases posteriores deben centrarse en los cambios a largo plazo (por ejemplo, cambios en la infraestructura) y en el trabajo continuo para mantener la empresa lo más segura posible.
En el caso de algunos incidentes, la erradicación no es necesaria o se lleva a cabo durante la recuperación.
Considere lo siguiente:
+ ¿Se puede cambiar la imagen del sistema y luego reforzarlo con parches u otras contramedidas para prevenir o reducir el riesgo de ataques?
+ ¿Se ha eliminado todo el malware y otros artefactos que han dejado los atacantes y se han reforzado los sistemas afectados para evitar nuevos ataques?
# Recuperar
AMS colabora con usted para restablecer el funcionamiento normal de los sistemas, confirmar que funcionan con normalidad y (según proceda) corregir las vulnerabilidades para evitar incidentes similares.
Considere lo siguiente:
+ ¿Están los sistemas afectados parcheados y reforzados contra el ataque reciente y los posibles ataques futuros?
+ ¿Qué día y hora es posible restablecer la producción de los sistemas afectados?
+ ¿Qué herramientas utilizará para probar, supervisar y comprobar que los sistemas que restaure para ponerlos en producción no son vulnerables a las técnicas de ataque iniciales?
# Informe posterior al incidente
Tras el suceso, AMS lleva a cabo un proceso de revisión de la investigación de todos los incidentes de seguridad. Además, AMS inicia un proceso de corrección de errores (COE) para abordar los incidentes de seguridad causados por un error del sistema o de un procedimiento que, de forma plausible, tiene margen de mejora. AMS colabora con usted para mejorar continuamente la experiencia de investigación de seguridad. El proceso COE ayuda a AMS a identificar los factores que contribuyen a que los eventos afecten a los clientes y relaciona esas causas con las siguientes acciones, elementos que pueden evitar que se repitan eventos similares o ayuda a mitigar la duración o el nivel de impacto.
El proceso de revisión de la investigación de los incidentes de seguridad aborda los siguientes elementos para identificar las oportunidades de mejora:
+ ¿Cuánto tiempo transcurrió desde el inicio del incidente hasta su descubrimiento, la evaluación inicial del impacto y cada etapa del proceso de gestión del incidente (por ejemplo, contención o recuperación)?
+ ¿Cuánto tiempo tardó el equipo de respuesta a incidentes en responder al informe inicial del incidente?
+ ¿Cuánto tiempo se tardó en realizar un análisis de impacto inicial?
+ ¿Se pudo prevenir esto y cómo? ¿Existe alguna herramienta o proceso que pudiera haberlo evitado?
+ ¿Podríamos haberlo detectado antes y cómo?
+ ¿Qué pudo haber hecho que la investigación fuera más rápida?
+ ¿Se siguieron los procedimientos de respuesta a incidentes documentados? ¿Fueron adecuados?
+ ¿El intercambio de información con otras partes interesadas se realizó de manera oportuna? ¿Cómo podría mejorarse?
+ ¿Fue eficaz la colaboración con otros equipos (de AWS seguridad, de cuentas, de AWS desarrollo y de seguridad del cliente)? Si no, ¿qué podría mejorarse?
+ ¿Qué pasos de preparación faltaban que pudieran haber ayudado: matrices de escalamiento, RACI, modelos de responsabilidad compartida, etc.? ¿Es necesario actualizar algún Runbook?
+ ¿Cuál fue la diferencia entre la evaluación de impacto inicial y la evaluación de impacto final? ¿Qué podemos hacer para mejorar la precisión de las evaluaciones en una fase temprana de la respuesta al incidente?
+ ¿Cuáles son los elementos de acción que se derivan de las lecciones aprendidas?
# Guías de respuesta a incidentes de seguridad en AMS
Esta sección contiene dos manuales:
+ [Respuesta a la actividad del usuario root](sir-root-user.md)
+ [Respuesta a eventos de malware](sir-malware.md)
# Respuesta a la actividad del usuario root
El [usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) es el superusuario de su AWS cuenta. Tenga en cuenta que AMS monitorea el uso de root. Se recomienda utilizar el usuario root solo para las pocas tareas que lo requieran, como cambiar la configuración de la cuenta, activar el acceso AWS Identity and Access Management (IAM) a la facturación y la gestión de costes, cambiar la contraseña root y activar la autenticación multifactor (MFA). Para obtener más información, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root).
Para obtener más información sobre cómo informar a AMS del uso raíz planificado, consulte [Cuándo y cómo usar la cuenta raíz en AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/how-when-to-use-root.html).
Cuando se detecta actividad por parte del usuario root (intentos fallidos de iniciar sesión que podrían indicar un ataque de fuerza bruta o actividad en la cuenta tras iniciar sesión correctamente), se genera un evento y se envía un incidente a tus contactos de seguridad definidos.
AWS Managed Services Operations investiga la actividad no planificada de los usuarios raíz, lleva a cabo la recopilación, clasificación y análisis de datos y realiza actividades de contención según sus instrucciones, seguidas de un análisis posterior al evento.
Si tiene el modelo operativo AMS Advanced, recibirá comunicaciones adicionales de los ingenieros de AMS CSDM y AMS Ops en las que se confirmará la actividad no planificada de los usuarios raíz debido a la responsabilidad de AMS de proteger las credenciales de los usuarios raíz. AMS investiga la actividad de los usuarios root hasta que se confirme el camino a seguir.
## Preparación
Informe a AMS de cualquier uso planificado del usuario root enviando una solicitud de servicio de AMS con los datos y las horas del evento planificado para evitar actividades innecesarias de respuesta a incidentes.
Póngase en contacto periódicamente GameDays con AMS para validar que los procesos de respuesta a incidentes de los clientes de AMS, las personas y los sistemas estén actualizados, y desarrolle la memoria muscular con las personas responsables para lograr una respuesta más rápida a los incidentes.
## Fase A: Detectar
AMS supervisa la actividad raíz de las cuentas a través de fuentes de detección, incluida GuardDuty la supervisión de AMS.
Si tiene AMS Accelerate, el modelo operativo responde al incidente y solicita que se investigue la actividad inesperada del usuario root. Cuando esto ocurre, AMS Operations inicia el manual de cuentas comprometidas.
Si dispone de AMS Advanced, el modelo operativo responde al incidente o informa al CSDM de cualquier actividad planificada por parte de un usuario root para poner fin a una investigación en curso sobre una situación comprometida en la cuenta.
## Fase B: analizar
AMS lleva a cabo una investigación exhaustiva de los eventos del usuario raíz cuando determina que la actividad no está autorizada. Utilizando tanto las automatizaciones como el equipo de respuesta de seguridad de AMS, los registros y los eventos se analizan para detectar anomalías y comportamientos inesperados en los usuarios root. Se proporcionan registros para ayudar a determinar si la actividad es desconocida, si se trata de un evento de un usuario raíz autorizado o si requiere una investigación más profunda.
Algunos ejemplos de la información proporcionada durante la investigación para respaldar las comprobaciones internas son:
+ Información de la cuenta: ¿En qué cuenta se utilizó la cuenta raíz?
+ Dirección de correo electrónico del usuario raíz: cada usuario raíz está asociado a una dirección de correo electrónico de su organización
+ Detalles de autenticación: ¿desde dónde y cuándo accedió el usuario raíz a su entorno?
+ Registros de actividad: ¿Qué hizo el usuario cuando inició sesión como root? Estos registros se presentan en forma de CloudWatch eventos. Comprender cómo leer estos registros ayuda en la investigación.
Se recomienda estar preparado para recibir la información de análisis y tener un plan sobre cómo llegar a los puntos de contacto autorizados para las cuentas de su organización. Como los usuarios raíz no se nombran como individuos, determinar quién tiene acceso a la dirección de correo electrónico raíz utilizada para la cuenta en su organización ayuda a dirigir rápidamente las preguntas internamente.
## Fase C: Contener y erradicar
AMS colabora con sus equipos de seguridad para llevar a cabo la contención siguiendo las instrucciones de sus contactos autorizados de Customer Security. Las opciones de contención incluyen:
+ Rotación de las credenciales y claves apropiadas.
+ Finalizar las sesiones activas de las cuentas y los recursos.
+ Erradicar los recursos creados.
Durante las actividades de contención, AMS trabaja en estrecha colaboración con su equipo de seguridad para garantizar que se minimice cualquier interrupción en sus cargas de trabajo y que las credenciales raíz estén debidamente protegidas.
Una vez completado el plan de contención, trabajará con el equipo de operaciones de AMS para tomar las medidas de recuperación necesarias.
## Informe posterior al incidente
Según sea necesario, AMS inicia el proceso de revisión de la investigación para identificar las lecciones aprendidas. Como parte de completar un COE, AMS comunica cualquier hallazgo relevante a los clientes afectados para ayudarlos a mejorar su proceso de respuesta a los incidentes.
AMS documenta todos los detalles finales de la investigación, recopila las métricas adecuadas y, a continuación, informa del incidente a los equipos internos de AMS que necesiten información, incluidos el CSDM y la CA asignados.
# Respuesta a eventos de malware
Las EC2 instancias de Amazon se utilizan para alojar diversas cargas de trabajo, incluido software de terceros y software desarrollado a medida que implementan los equipos de aplicaciones de las organizaciones. AMS le ofrece y le anima a implementar sus cargas de trabajo en imágenes parcheadas y mantenidas de forma continua por AMS.
Durante el funcionamiento de las instancias, AMS monitorea las anomalías en el comportamiento o la actividad a través de una variedad de controles de detección de seguridad, incluidos Amazon, Endpoint Protection GuardDuty, Network Traffic y los feeds internos de Inteligencia de Amenazas de Amazon.
Los clientes de AMS que utilizan el modelo operativo AMS Advanced instalan automáticamente el cliente de supervisión de Endpoint Security (EPS) en los recursos aprovisionados. Esto garantiza que los recursos se supervisen y admitan las 24 horas del día, los 7 días de la semana, lo que incluye la creación de un incidente de seguridad cuando se detecta un evento.
AMS también monitorea los hallazgos de GuardDuty malware. Están disponibles tanto en AMS Advanced como en AMS Accelerate, si están activados. Consulta [Protección contra malware en Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html) para obtener más información.
**nota**
Si has optado por [Bring Your Own EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html), el proceso de respuesta a los incidentes es diferente al que se describe en esta página. Para obtener más información, consulte la documentación a la que se hace referencia.
Cuando se detecta malware, se crea un incidente y se le notifica del mismo. Esta notificación va seguida de cualquier actividad de reparación que se haya producido. AMS Operations investiga, recopila, clasifica y analiza los datos y, a continuación, lleva a cabo actividades de contención según sus instrucciones, seguidas de un análisis posterior al suceso.
## Fase A: Detectar
AMS monitorea los eventos en las instancias con GuardDuty una solución de seguridad de punto final. AMS determina las actividades de enriquecimiento y clasificación adecuadas para ayudarle a tomar decisiones de contención o aceptación de riesgos en función del tipo de hallazgo o alerta.
La recopilación de datos se realiza en función del tipo de hallazgo. La recopilación de datos implica consultar múltiples fuentes de datos, tanto internas como externas, a la cuenta afectada para obtener una idea de la actividad observada o de las configuraciones preocupantes.
AMS correlaciona el hallazgo con cualquier otra alarma y alerta o telemetría de cualquier cuenta afectada o plataforma de inteligencia de amenazas de AMS.
## Fase B: analizar
Una vez recopilados los datos, se analizan para identificar cualquier actividad o indicador preocupante. Durante esta fase de la investigación, AMS colabora con usted para integrar el conocimiento empresarial y el dominio de las instancias y las cargas de trabajo a fin de comprender qué se espera y qué es lo que está fuera de lo común.
Algunos ejemplos de la información proporcionada durante la investigación para respaldar las comprobaciones internas son:
+ Información de la cuenta: ¿En qué cuenta se observó la actividad del malware?
+ Detalles de la instancia: ¿Qué instancias están implicadas en los eventos de malware?
+ Fecha y hora del evento: ¿Cuándo se activó la alerta?
+ Información sobre la carga de trabajo: ¿Qué se está ejecutando en la instancia?
+ Detalles sobre el malware, si corresponde: familias de malware e información de código abierto sobre el malware.
+ Detalles sobre los usuarios o las funciones: ¿Qué usuarios o funciones se ven afectados por la actividad o participan en ella?
+ Registros de actividad: ¿Qué actividades se registran en la instancia? Se presentan en forma de CloudWatch eventos y eventos del sistema de la instancia. Saber cómo leer estos registros le ayudará en la investigación
+ Actividad de red: ¿Qué puntos finales se conectan a la instancia, a qué se conecta la instancia y cuál es el análisis del tráfico?
Se recomienda estar preparado para recibir información sobre la investigación y tener un plan sobre cómo contactar con los puntos de contacto adecuados para las cuentas, las instancias y las cargas de trabajo de la organización. Comprender la topología de la red y la conexión prevista puede ayudar a acelerar el análisis de impacto. El conocimiento de las pruebas de penetración planificadas en el entorno y de las implementaciones recientes realizadas por los propietarios de las aplicaciones también puede acelerar la investigación.
Si determina que la actividad está planificada y autorizada, el incidente se actualiza y la investigación finaliza. Si se confirma el compromiso, usted y AMS determinarán el plan de contención adecuado.
## Fase C: Contener y erradicar
AMS colabora con usted para determinar las actividades de contención adecuadas en función de los datos recopilados y la información conocida. Las opciones de contención incluyen, pero no se limitan a:
+ Preservar los datos mediante instantáneas
+ Modificar las reglas de red para limitar el tráfico entrante o saliente de las instancias
+ Modificar las políticas de usuarios y roles de SCP e IAM para limitar el acceso
+ Finalización, suspensión o desactivación de instancias
+ Finalizar cualquier conexión persistente
+ Rotación de las credenciales y claves apropiadas
Si opta por realizar una actividad de erradicación contra la instancia, AMS lo ayudará a lograrlo. Las opciones incluyen, pero no se limitan a:
+ Eliminar cualquier software no deseado
+ Reconstruir la instancia a partir de una imagen limpia y completamente parcheada y volver a implementar las aplicaciones y la configuración
+ Restauración de la instancia a partir de una copia de seguridad anterior
+ Implementar aplicaciones y servicios en otra instancia de su cuenta que pueda ser adecuada para alojar las cargas de trabajo.
Es importante determinar cómo se distribuyó y ejecutó el malware en la instancia antes de restablecer el servicio para asegurarse de que se aplican todos los controles adicionales que impidan que el malware vuelva a aparecer en la instancia. AMS proporciona información o información adicional a sus socios o equipos forenses, según sea necesario, para respaldar la labor forense.
En este punto, trabajará con AMS Operations para las actividades de recuperación. AMS trabaja en estrecha colaboración con usted para minimizar las interrupciones en las cargas de trabajo y proteger las instancias.
## Informe posterior al incidente
Según sea necesario, AMS inicia el proceso de revisión de la investigación para identificar las lecciones aprendidas. Como parte de completar un COE, AMS le comunica los hallazgos relevantes para ayudarlo a mejorar su proceso de respuesta a incidentes.
AMS documenta los detalles finales de la investigación, recopila las métricas adecuadas e informa del incidente a los equipos internos de AMS que requieren información, incluidos el CSDM y el CA asignados.
# Revisiones de seguridad de solicitudes de cambio en AMS Advanced
El proceso de revisión de las solicitudes de cambio de AWS Managed Services garantiza que AMS lleve a cabo una revisión de seguridad de los cambios solicitados a medida que se implementan en su nombre en su cuenta.
[Estándares técnicos AMS Advanced](ams-sec-technical-standards.md)defina los criterios de seguridad, las configuraciones y los procesos mínimos para establecer la seguridad básica de sus cuentas. Cuando AMS implementa los cambios solicitados, seguimos estos estándares.
AMS evalúa todas las solicitudes de cambio en función de las normas técnicas de AMS. Cualquier cambio que pueda reducir el nivel de seguridad de tu cuenta al apartarse de los estándares técnicos pasa por un proceso de revisión de seguridad. Durante este proceso, AMS resalta el riesgo relevante y el responsable de la aprobación de riesgos autorizado lo revisa y aprueba para lograr un equilibrio entre las necesidades empresariales y de seguridad.
# Proceso de gestión de riesgos de seguridad del cliente
El proceso de gestión avanzada de riesgos para la seguridad del cliente (CSRM) de AMS ayuda a identificar y comunicar claramente los riesgos a los propietarios adecuados. Este proceso minimiza los riesgos de seguridad en su entorno y reduce la sobrecarga operativa continua en caso de identificar los riesgos.
De forma predeterminada, cuando alguien de su organización solicita que AMS implemente un cambio en su entorno gestionado, AMS revisa el cambio para determinar si la solicitud no cumple los estándares técnicos, lo que podría alterar la postura de seguridad de su cuenta. Si existe un riesgo de seguridad alto o muy alto, el personal de seguridad autorizado acepta o rechaza la revisión del cambio. Los cambios solicitados también se evalúan para determinar si tienen efectos adversos en la capacidad de AMS para gestionar la cuenta. Si la revisión detecta posibles impactos adversos, AMS requerirá revisiones y aprobaciones adicionales.
Puede excluirse del flujo de trabajo basado en la aprobación en el proceso de CSRM en caso de riesgos altos o muy altos. Para cambiar la opción de CSRM para cuentas específicas, de la **CSRM estándar** a la de **solo notificación**, colabore con sus gerentes de prestación de servicios en la nube para crear una aceptación única del riesgo. Si opta por la opción de **solo notificación**, AMS implementará los cambios solicitados independientemente de la categoría de riesgo. Además, AMS envía una notificación de riesgo a los responsables de la aprobación de riesgos autorizados en lugar de solicitar la aprobación antes de la implementación del cambio. Hable con sus arquitectos de nube o gerentes de prestación de servicios en la nube para obtener más información sobre el proceso de CSRM de AMS, cómo cambiar la opción de CSRM predeterminada al incorporar nuevas cuentas de AMS o cómo actualizar las cuentas existentes.
**nota**
AMS recomienda encarecidamente que utilice la opción predeterminada de **CSRM estándar** en todas sus cuentas.
# Estándares técnicos AMS Advanced
Las siguientes son las categorías de estándares técnicos de AMS Advanced:
| ID | Categoría |
| --- | --- |
| AMS-STD-001 | Configuración de etiquetado |
| AMS-STD-002 | AWS Identity and Access Management |
| AMS-STD-003 | Seguridad de la red |
| AMS-STD-004 | Pruebas de penetración |
| AMS-STD-005 | Amazon GuardDuty |
| AMS-STD-006 | Seguridad del host |
| AMS-STD-007 | Registro |
| AMS-STD-008 | AMS-MAD |
| AMS-STD-009 | Misceláneo |
# Controles estándar en AMS Advanced
Los siguientes son los controles estándar del AMS:
## AMS-STD-001: Configuración de etiquetado
El siguiente es el control estándar para 001: Configuración de etiquetado.
1. Todos los AWS recursos requeridos por el equipo de AMS para fines operativos y de administración deben tener el siguiente par clave-valor.
+ AppId= AMSInfrastructure
+ Entorno = AMSInfrastructure
+ AppName = AMSInfrastructure
+ AMSResource=Verdadero
1. Todas las etiquetas requeridas por el equipo de AMS, distintas de las enumeradas anteriormente, deben tener prefijos tal como se menciona en la lista de prefijos de AMS (consulte la nota).
1. Los valores de etiqueta requeridos por el equipo de AMS (AppIdentorno y AppName) se pueden cambiar en cualquiera de los recursos que haya creado en función de sus solicitudes de cambio.
1. No debes eliminar ninguna etiqueta de las pilas que AMS requiera en función de tus solicitudes de cambio.
1. No puede utilizar la convención de nomenclatura de etiquetas AMS para su infraestructura, como se menciona en el punto 2.
1. Puede hacer que se creen etiquetas personalizadas en los recursos que necesite AMS (normalmente para casos de uso de facturación e informes de costes). Las etiquetas personalizadas se conservan si los recursos se actualizan mediante la actualización de la pila y no mediante la actualización de la plantilla.
**nota**
Lista de prefijos AMS
ams-\$1
AWSManagedServicios\$1
/ams/ \$1
Ams\$1
AMS\$1
Ams\$1
mc\$1
MC\$1
Mc\$1
centinella\$1
Centinela\$1
Servicios\$1gestionados\$1
Nuevo AMS\$1
AWS\$1\$1
aws\$1
VPC\$1\$1
CloudTrail\$1
Cloudtrail\$1
/aws\$1reservado/
INGERIR\$1
EPSDB\$1
MMS\$1
TemplateId\$1
StackSet-ams\$1
StackSet-Zona de aterrizaje de AWS
IAMPolicy\$1
cliente-mc-\$1
Raíz\$1
LandingZone\$1
StateMachine\$1
codedeploy\$1service\$1role
host de administración
sentinel.int.
eps
UnhealthyInServiceBastion
ms-
## AMS-STD-002 - (IAM) AWS Identity and Access Management
| ID | Norma técnica |
| --- | --- |
| 1.0 | Duración del tiempo de espera |
| 1.1 | El tiempo de espera predeterminado de un usuario federado es de una hora y puede aumentarse hasta cuatro horas. |
| 1.2 | El tiempo de acceso predeterminado a la pila es de 12 horas. |
| 2.0 | AWS Uso de la cuenta raíz |
| 2.1 | Si se utiliza una cuenta raíz por cualquier motivo, Amazon GuardDuty debe estar configurado para generar los resultados pertinentes. |
| 2.2 | En el caso de las cuentas de una sola cuenta en la zona de aterrizaje (SALZ) y en las cuentas de administración de varias cuentas de la zona de aterrizaje (MALZ) (anteriormente denominada Master/Billing cuenta), la cuenta del usuario raíz debe tener habilitada la MFA virtual y el token virtual de MFA se descarta durante la incorporación de la cuenta, de modo que ni AMS ni los clientes puedan iniciar sesión como root. Debe seguir el proceso estándar de pérdida de la contraseña AWS raíz junto con su gestor de prestación de servicios en la nube (CSDM) de AMS. Esta configuración debe permanecer durante el ciclo de vida de las cuentas gestionadas por AMS. |
| 2.3 | No debe crear claves de acceso para la cuenta raíz. |
| 3.0 | Creación y modificación de usuarios |
| 3.1 | Se pueden crear IAM users/roles con acceso programático y permisos de solo lectura sin ninguna política de tiempo limitado. Sin embargo, no se permite el permiso para permitir la lectura de objetos (por ejemplo, S3:GetObject) en todos los depósitos de Amazon Simple Storage Service de la cuenta. |
| 3.1.1 | Se pueden crear usuarios humanos de IAM para el acceso a la consola y con permisos de solo lectura con la política de límite de tiempo (hasta 180 días), mientras que la política removal/renewal/extension de límite de tiempo limitado generará la notificación de riesgo. Sin embargo, no se permite el permiso para leer objetos (por ejemplo, S3:GetObject) en todos los depósitos de S3 de la cuenta. |
| 3.2 | No se deben crear usuarios y roles de IAM para el acceso programático y de consola con permisos que modifiquen la infraestructura (escritura y administración de permisos) en la cuenta del cliente sin una aceptación arriesgada. Existen excepciones para los permisos de escritura a nivel de objeto de S3, que se permiten sin riesgo de aceptación siempre que los segmentos específicos estén dentro del ámbito de aplicación y las operaciones de etiquetado en etiquetas no relacionadas con AMS. |
| 3.3 | Los usuarios de IAM con acceso programático, nombrados customer\$1servicenow\$1user y customer\$1servicenow\$1logging\$1user necesarios para la ServiceNow integración en la cuenta de aplicación SALZ o MALZ y las \$1cuentas principales\$1 se pueden crear sin ninguna política de tiempo limitado. |
| 3.4 | Los usuarios de IAM con acceso programático, que utilizan customer\$1cloud\$1endure\$1policy y customer\$1cloud\$1endure\$1deny\$1policy (con acceso de solo lectura) que se requieren para la CloudEndure integración en SALZ pueden crearse cuentas de MALZ, pero necesitan una política de tiempo limitado durante el período de migración planificado. El límite de tiempo puede ser de un período máximo de 180 días sin ningún tipo de RA. El SCP también está autorizado a cambiar las cuentas de MALZ para permitir que estas políticas funcionen durante el período requerido. Usted define los períodos de migración adecuados a sus necesidades y los ajusta según sea necesario. |
| 4.0 | Políticas, acciones y APIs |
| 4.1 | Todos los usuarios y funciones de IAM en las cuentas de SALZ deben tener incorporada la Política de rechazo de clientes (CDP) predeterminada para proteger la infraestructura de AMS de daños accidentales o intencionados. |
| 4.2 | El AMS SCPs debe estar activado en todas las cuentas gestionadas por AMS en MALZ. |
| 4.3 | Las identidades capaces de realizar acciones administrativas en las claves de KMS, por ejemplo PutKeyPolicyScheduleKeyDeletion, deben estar restringidas únicamente a los operadores de AMS y a los responsables de automatización. |
| 4.4 | Una política no debe proporcionar acceso al administrador con una declaración equivalente a «Efecto»: «Permitir» con «Acción»: «\$1» en lugar de «Recurso»: «\$1» sin riesgo de aceptación. |
| 4.5 | La política de IAM no debe incluir ninguna acción que incluya la acción Permitir S3: \$1\$1\$1 en cualquier segmento sin riesgo de aceptación. |
| 4.6 | No se deben permitir las llamadas a la API contra las políticas clave de KMS para las claves de infraestructura de AMS en las políticas de IAM del cliente. |
| 4.7 | No se deben permitir acciones que eludan el proceso de administración de cambios (RFC), como iniciar o detener la instancia, crear un bucket de S3 o una instancia de RDS, etc. |
| 4.8 | No se deben permitir acciones que realicen cambios en los registros DNS de la infraestructura de AMS en Amazon Route 53. |
| 4.9 | Los usuarios humanos de IAM con acceso a la consola creados después de seguir el debido proceso no deben tener ninguna política asociada directamente, excepto la política de confianza, el rol y la política de tiempo limitado. |
| 4.10 | Se pueden EC2 crear perfiles de instancias de Amazon con acceso de lectura a un secreto o espacio de nombres específico AWS Secrets Manager dentro de la misma cuenta. |
| 4.11 | Los permisos de AWS Managed Services Change Management (AMSCM) o AWS Managed Services Service Knowledge Management System (AMSSKMS) se pueden añadir a cualquier función (capacidad de apertura). SR/Incident/RFC |
| 4.12 | La política de IAM no debe incluir ninguna acción que incluya la acción Permitir registros (DeleteLogGroup y registros) DeleteLogStream en cualquier grupo de CloudWatch registros de AMS Amazon. |
| 4.13 | No se deben permitir los permisos para crear claves multirregionales. |
| 4.14 | Para proporcionar acceso a un bucket de S3 ARNs que aún no esté creado en sus cuentas, utilice la clave de condición de S3 específica del servicio s3:ResourceAccount para especificar el número de cuenta. |
| 4.15 | Puedes tener acceso a ver, crear, enumerar y eliminar tu panel personalizado, pero solo puedes ver y enumerar en los CloudWatch paneles de Amazon. |
| 4.15.1 | Puede ver, crear, enumerar y eliminar el acceso a su panel de control personalizado de S3 Storage Lens. |
| 4.16 | Se pueden conceder todos los permisos relacionados con SQL Workbench roles/users para trabajar en las bases de datos de Amazon Redshift. |
| 4.17 | Se puede conceder cualquier AWS CloudShell permiso a los roles de los clientes como alternativa a la CLI. |
| 4.18 | Una función de IAM Servicio de AWS como director de confianza también debe cumplir con las normas técnicas de la IAM. |
| 4.19 | Los roles vinculados a servicios (SLRs) no están sujetos a los estándares técnicos de AMS IAM, ya que los crea y mantiene el equipo de servicio de IAM. |
| 4.20 | Las políticas de IAM no deben permitir el acceso de lectura sin restricciones a los objetos del bucket de Amazon S3 (por ejemplo, Amazon S3:GetObject) en todos los buckets de una cuenta: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/ams-sec-stand-controls.html) |
| 4.21 | Todos los permisos de IAM para el tipo de recurso «savingsplan» se pueden conceder a los clientes. |
| 4.22 | Los ingenieros de AMS no pueden copiar ni mover los datos de los clientes (archivos, objetos S3, bases de datos) manualmente en ninguno de los servicios de almacenamiento de datos, como Amazon S3, Amazon Relational Database Service, Amazon DynamoDB, etc., ni en el sistema de archivos del sistema operativo. |
| 4.23 | La política de SCP no debe modificarse para permitir ningún acceso adicional a ninguna de las cuentas gestionadas por AMS. |
| 4.24 | No se debe permitir ningún cambio en la política de SCP que pueda infringir la infraestructura o las capacidades de administración de AMS. (Nota: los recursos de AMS tienen la etiqueta AppId= AMSInfrastructure y siguen el espacio de nombres protegido de AMS). |
| 4.25 | La función de aprovisionamiento automatizado de IAM de AMS debe estar habilitada en sus cuentas como una función opcional. |
| 4.26 | Los roles o usuarios de AMS asumidos por humanos no deben tener acceso al contenido del cliente en S3, RDS, DynamoDB, Redshift, Elasticache, EFS y. FSx Además, en las funciones de operador se debe denegar explícitamente el acceso a una publicación conocida o nueva APIs publicada por otra persona Servicios de AWS que permita el acceso al contenido de los clientes. |
| 5.0 | Federación |
| 5.1 | La autenticación debe configurarse mediante la federación en la cuenta gestionada por AMS. |
| 5.2 | Solo debe haber una confianza de salida unidireccional entre AMS AD y su Active Directory (AMS AD confía en el AD local). |
| 5.3 | Los almacenes de identidades utilizados para autenticarse en AMS no deben existir en las cuentas de aplicaciones gestionadas por AMS. |
| 6.0 | Políticas de cuentas cruzadas |
| 6.1 | Se pueden configurar las funciones de IAM y las políticas de confianza entre las cuentas de AMS que pertenecen al mismo cliente según los registros de los clientes. |
| 6.2 | Las políticas de confianza de los roles de IAM entre las cuentas AMS y las que no son de AMS solo se deben configurar si la cuenta que no es de AMS pertenece al mismo cliente de AMS (confirmando que están bajo la misma AWS Organizations cuenta o haciendo coincidir el dominio de correo electrónico con el nombre de la empresa del cliente). |
| 6.3 | Las políticas de confianza de las funciones de IAM entre las cuentas de AMS y las cuentas de terceros no deben configurarse sin correr el riesgo de aceptarlas. |
| 6.4 | Se pueden configurar políticas multicuentas para acceder a cualquier cuenta de AMS CMKs del mismo cliente gestionada por un cliente. |
| 6.5 | Se pueden configurar políticas multicuenta para acceder a cualquier clave de KMS de una cuenta que no sea de AMS mediante una cuenta de AMS. |
| 6.6 | No se deben permitir las políticas multicuenta para acceder a cualquier clave de KMS de una cuenta de AMS por parte de una cuenta de terceros sin una aceptación arriesgada. |
| 6.6.1 | Las políticas multicuentas para acceder a cualquier clave de KMS de una cuenta de AMS desde una cuenta que no sea de AMS solo se pueden configurar si la cuenta que no es de AMS es propiedad del mismo cliente de AMS. |
| 6.7 | Se pueden configurar políticas multicuenta para acceder a cualquier dato o recurso del bucket de S3 donde se puedan almacenar datos (como Amazon RDS, Amazon DynamoDB o Amazon Redshift) entre cuentas de AMS del mismo cliente. |
| 6.8 | Se pueden configurar políticas multicuenta para acceder a cualquier dato o recurso del bucket de S3 donde se puedan almacenar datos (como Amazon RDS, Amazon DynamoDB o Amazon Redshift) en una cuenta que no sea de AMS desde una cuenta de AMS con acceso de solo lectura. |
| 6.9 | Las políticas multicuenta para acceder a cualquier dato o recurso del bucket de S3 donde se puedan almacenar datos (como Amazon RDS, Amazon DynamoDB o Amazon Redshift) con permisos de escritura de AMS a una cuenta que no sea de AMS (o de una cuenta que no sea de AMS a AMS) solo deben configurarse si la cuenta que no es de AMS es propiedad del mismo cliente de AMS (confirmando que está en la misma cuenta o haciendo coincidir el dominio de correo electrónico con AWS Organizations el nombre de la empresa del cliente). |
| 6,10 | Se pueden configurar políticas multicuenta para acceder a cualquier dato o recurso del bucket de S3 donde se puedan almacenar datos (como Amazon RDS, Amazon DynamoDB o Amazon Redshift) en una cuenta de terceros desde una cuenta de AMS con acceso de solo lectura. |
| 6.11 | No se deben configurar políticas multicuenta para acceder a cualquier dato o recurso del bucket de S3 donde se puedan almacenar datos (como Amazon RDS, Amazon DynamoDB o Amazon Redshift) en una cuenta de terceros desde una cuenta de AMS con acceso de escritura. |
| 6.12 | Las políticas multicuentas de cuentas de terceros para acceder a un bucket de S3 de un cliente de AMS o a los recursos en los que se puedan almacenar datos (como Amazon RDS, Amazon DynamoDB o Amazon Redshift) no deben configurarse sin una aceptación arriesgada. |
| 7.0 | User Groups (Grupos de usuarios) |
| 7.1 | Se permiten los grupos de IAM con permisos de solo lectura y no mutativos. |
| 8.0 | Políticas basadas en recursos |
| 8.1 | Los recursos de la infraestructura de AMS deben protegerse de la administración por parte de identidades no autorizadas mediante la incorporación de políticas basadas en los recursos. |
| 8.2 | Sus recursos deben configurarse con políticas basadas en recursos con privilegios mínimos, a menos que especifique explícitamente una política diferente. |
| 9.0 | Servicios aprovisionados de autoservicio (SSPS) |
| 9.1 | El rol o la política de IAM predeterminados de AMS (incluidos el perfil de la instancia, el SSPS y el patrón) no deben modificarse con o sin ningún riesgo. Se permiten excepciones (sin riesgo de aceptación) a las políticas de confianza. En las funciones predeterminadas del SSP también se permite etiquetar los cambios de rol, política o usuario. |
| 9.3 | La política de SSPS para el rol de consola de Systems Manager Automation no se puede adjuntar a ningún rol personalizado aparte del rol predeterminado. Las demás políticas de SSPS solo se deben adjuntar a las funciones de IAM personalizadas después de garantizar que la vinculación de la política a una función personalizada no proporciona permisos adicionales fuera del diseño previsto para el servicio SSPS predeterminado. |
## AMS-STD-003: Seguridad de red
El siguiente es el control estándar para 003 - Network Security:
| ID | Norma técnica |
| --- | --- |
| | Redes |
| 1.0 | Se debe acceder a todas las EC2 instancias mediante SSH o RDP únicamente a través de hosts Bastion, rango CIDR de VPC del host bastión o desde el rango CIDR de VPC de la misma instancia. |
| 2.0 | EC2 Se permite la IP elástica en las instancias |
| 3.0 | Se debe utilizar el plano de control AMS y, por extensión, en el plano de datos, el TLS 1.2\$1. |
| 4.0 | Todo el tráfico de salida debe pasar por la cuenta IGW o TGW. |
| 5.0 | Un grupo de seguridad no debe tener el origen 0.0.0.0/0 en la regla de entrada si no está conectado a un balanceador de cargas según la versión 9.0 |
| 6.0 | El depósito o los objetos de S3 no deben hacerse públicos sin riesgo de ser aceptados. |
| 7.0 | No se debe permitir el acceso a la administración de servidores en los puertos SSH/22 o SSH/2222 (no SFTP/2222), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/ 5900-5901 TS/CITRIX/1494 o 1604, LDAP/389 o 636 y RPC/135, NETBIOS/137-139 desde fuera de la VPC a través de grupos de seguridad. |
| 8.0 | No se debe permitir el acceso a la administración de bases de datos en los puertos (MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433) o en un puerto personalizado desde el público ni se debe enrutar a una VPC a través de DX, VPC-Peer o una VPN a través de un grupo de seguridad. IPs |
| 8.1 | Cualquier recurso en el que se puedan almacenar los datos de los clientes no debe exponerse directamente a la Internet pública. |
| 9.0 | El acceso directo a las aplicaciones a través de los puertos HTTP/80, HTTPS/8443 y HTTPS/443 desde Internet solo está permitido a los balanceadores de carga, pero no a ningún recurso de cómputo directamente, por ejemplo, instancias, contenedores, etc. EC2 ECS/EKS/Fargate |
| 10.0 | Se puede permitir el acceso de las aplicaciones a través de los puertos HTTP/80 y HTTPS/443 desde el rango de IP privadas del cliente. |
| 11.0 | No se debe permitir ningún cambio en los grupos de seguridad que controlan el acceso a la infraestructura de AMS sin que ello suponga un riesgo. |
| 12.0 | AMS Security hace referencia a los estándares cada vez que se solicita que un grupo de seguridad se adjunte a una instancia. |
| 13.0 | El acceso al bastión del cliente en los puertos 3389 y 22 solo debe permitirse desde los rangos de IP privadas que se enruten a la VPC a través de DX, VPC-peer o VPN. |
| 14.0 | La asociación entre cuentas de zonas alojadas privadas VPCs desde una cuenta de AMS a una cuenta que no es de AMS (o que no es de AMS a una cuenta de AMS) solo debe configurarse si la cuenta que no es de AMS es propiedad del mismo cliente de AMS (confirmando que están bajo la misma cuenta de la organización de AWS o haciendo coincidir el dominio de correo electrónico con el nombre de la empresa del cliente) mediante herramientas internas. |
| 15.0 | Se pueden permitir las conexiones de emparejamiento de VPC entre cuentas que pertenecen al mismo cliente. |
| 16.0 | La base de AMS se AMIs puede compartir con cuentas ajenas a AMS siempre que ambas cuentas sean propiedad del mismo cliente (confirmando que están bajo la misma AWS Organizations cuenta o haciendo coincidir el dominio de correo electrónico con el nombre de la empresa del cliente) mediante herramientas internas. |
| 17.0 | El puerto FTP 21 no debe configurarse en ninguno de los grupos de seguridad sin una aceptación del riesgo. |
| 18.0 | Se permite la conectividad de red entre cuentas a través de Transit Gateway siempre que todas las cuentas sean propiedad del cliente. |
| 19.0 | No está permitido convertir una subred privada en pública |
| 20.0 | No se deben permitir las conexiones de emparejamiento de VPC con cuentas de terceros (que no sean propiedad del cliente). |
| 21.0 | No se debe permitir la conexión de Transit Gateway a una cuenta de terceros (que no sea propiedad del cliente). |
| 22.0 | El tráfico de red necesario para que AMS preste los servicios a los clientes no debe bloquearse en el punto de salida de la red del cliente. |
| 23.0 | Se permite compartir las reglas de resolución con aquellas que Cuenta de AWS sean propiedad del mismo cliente mediante una notificación de riesgo |
| 19.0 | ICMP |
| 19,1 | La solicitud ICMP entrante a Amazon por EC2 parte del cliente infra requerirá una notificación del riesgo. |
| 19.2 | Se permiten las solicitudes entrantes del público IPs enrutadas a Amazon VPC a través de DX, VPC-peer o VPN a través de un grupo de seguridad. |
| 19.3 | Las solicitudes entrantes del público que IPs no se enruten a Amazon VPC a través de DX, VPC-peer o VPN a través de un grupo de seguridad requerirían una aceptación de riesgo. |
| 19.4 | Se permiten solicitudes ICMP salientes desde Amazon EC2 a cualquier destino. |
| 20.0 | Uso compartido de grupos de seguridad |
| 20.1 | Si un grupo de seguridad cumple con este estándar de seguridad, se puede compartir entre cuentas VPCs de la misma cuenta y entre cuentas de la misma organización. |
| 20.2 | Si un grupo de seguridad no cumple con este estándar y anteriormente se requería la aceptación del riesgo para este grupo de seguridad, no se permite el uso de la función de uso compartido de grupos de seguridad entre la misma cuenta o entre cuentas de la misma organización sin la aceptación del riesgo para esa nueva VPC o cuenta. VPCs |
## AMS-STD-004: Pruebas de penetración
El siguiente es el control estándar para el 004: Pruebas de penetración
1. AMS no admite la infraestructura de pentest. Es responsabilidad del cliente. Por ejemplo, Kali no es una distribución de Linux compatible con AMS.
1. Los clientes deben cumplir con las [pruebas de penetración](https://aws.amazon.com/security/penetration-testing/).
1. En caso de que el cliente desee realizar pruebas de penetración de la infraestructura en las cuentas, se debe avisar previamente a AMS con 24 horas de antelación.
1. AMS proporcionará al cliente una infraestructura de pentesting según los requisitos del cliente que se especifiquen explícitamente en la solicitud de cambio o servicio presentada por el cliente.
1. La gestión de la identidad de la infraestructura de pentesting del cliente es responsabilidad del cliente.
## AMS-STD-005 - GuardDuty
El siguiente es el control estándar para 005 - GuardDuty
1. GuardDuty debe estar activado en todas las cuentas de los clientes en todo momento.
1. GuardDuty Los resultados de la cuenta de aplicaciones gestionada por el cliente (CMA) en MALZ no generarán alarmas para el equipo de operaciones.
1. GuardDuty las alertas deben almacenarse en la misma cuenta o en cualquier otra cuenta gestionada de la misma organización.
1. No se GuardDuty debe utilizar la función de lista de IP confiables de. En su lugar, se puede utilizar el archivado automático como alternativa, lo que resulta útil para fines de auditoría.
1. GuardDuty La delegación de administradores no debe estar habilitada en MALZ, ya que el administrador delegado podría realizar acciones con altos privilegios, como deshabilitar las demás cuentas, sin correr el riesgo GuardDuty de aceptarlas.
1. GuardDuty Los filtros de archivado automático deben utilizar el alcance mínimo para obtener el máximo rendimiento. Por ejemplo, si AMS ve varios bloques impredecibles IPs en distintos bloques de CIDR y hay un ASN corporativo que es adecuado utilizar, utilice el ASN. Sin embargo, si puedes limitar el alcance a rangos específicos o a /32 direcciones, entonces acércate a esos rangos.
## AMS-STD-006: Seguridad del host
El siguiente es el control estándar para 006 - Host Security
+ Debe haber un agente antivirus en ejecución en todas las EC2 instancias y en todo momento. (por ejemplo, Trend Micro DSM).
+ El módulo antimalware debe estar activado.
+ El agente EPS debe incluir todos los directorios y archivos que se van a escanear.
+ Los archivos puestos en cuarentena por la solución antivirus se pueden compartir con usted cuando lo desee.
+ No se debe instalar una solución de seguridad para terminales de terceros.
+ La frecuencia de actualización de las firmas antivirus debe configurarse como mínimo una vez al día.
+ La frecuencia de escaneo programada debe configurarse como mínimo una vez al mes.
+ El escaneo en tiempo real (en tiempo real) debe estar activado y en funcionamiento en todo momento.
+ AMS no debe ejecutar ningún script personalizado que no sea propiedad de AMS ni esté creado por AMS en sus instancias. (Nota: Puede hacerlo mediante el acceso de administrador de pila a través del acceso de administrador de pila CT o mediante la [AWS Systems Manager automatización (AMS SSPS](https://docs.aws.amazon.com/managedservices/latest/userguide/sys-man-runbook.html)).
+ La autenticación a nivel de red (NLA) no debe estar deshabilitada en el host de Windows.
+ El sistema operativo host debe estar actualizado con los últimos parches de seguridad según el ciclo de parches configurado.
+ Una cuenta gestionada por AMS no debe tener una instancia no gestionada en la cuenta.
+ No debe permitirse la creación de cuentas de administrador local en su instancia por parte de AMS.
+ No se EC2 debe crear el par de claves activado.
+ No debe utilizar sistemas operativos declarados al final de su vida útil (EOL) y el proveedor o un tercero no proporcionan ningún otro soporte de seguridad.
## AMS-STD-007: Registro
El siguiente es el control estándar para 007: Registro
| ID | Norma técnica |
| --- | --- |
| 1.0 | Tipos de registro |
| 1.1 | Registros del sistema operativo: todos los hosts deben registrar como mínimo los eventos de autenticación del host, los eventos de acceso para todos los usos de privilegios elevados y los eventos de acceso para todos los cambios en la configuración de acceso y privilegios, tanto si se realizan correctamente como si no. |
| 1.2 | AWS CloudTrail: el registro CloudTrail de eventos de administración debe estar habilitado y configurado para enviar los registros a un bucket de S3. |
| 1.3 | Registros de flujo de VPC: todos los registros de tráfico de red deben registrarse mediante registros de flujo de VPC. |
| 1.4 | Registro de acceso al servidor Amazon S3: los buckets S3 obligatorios por AMS que almacenan registros deben tener habilitado el registro de acceso al servidor. |
| 1.5 | AWS Config Instantáneas: AWS Config deben registrar los cambios de configuración de todos los recursos compatibles en todas las regiones y entregar los archivos de instantáneas de configuración a los depósitos de S3 al menos una vez al día. |
| 1.6 | Registros del Endpoint Protection System (EPS): el registro de la solución EPS debe estar habilitado y configurado para enviar los registros a un grupo de CloudWatch registros. |
| 1.7 | Registros de aplicaciones: los clientes pueden habilitar el inicio de sesión en sus aplicaciones y almacenarlos en un grupo de CloudWatch registros o en un depósito de S3. |
| 1.8 | Registro a nivel de objeto de S3: los clientes pueden habilitar el registro a nivel de objeto en sus depósitos de S3. |
| 1.9 | Registro de servicios: los clientes pueden habilitar y reenviar los registros de los servicios de SSPS como cualquier otro servicio principal. |
| 1.10 | Registros de Elastic Classic/Application Load Balancer/Network Load Balancing (Load Balancer): las entradas de los registros de acceso y errores deben almacenarse en los buckets S3 gestionados por AMS 2.0. |
| 2.0 | Control de acceso |
| 2.1 | No debe tener acceso de escritura o eliminación en los depósitos de S3 necesarios para AMS que almacenan registros y CloudWatch registros (grupos de registros). |
| 2.2 | Debe tener acceso de solo lectura a todos los registros de sus cuentas. |
| 2.3 | Los depósitos S3 exigidos por AMS que almacenan registros no deben permitir el uso de cuentas de terceros como norma en las políticas de los depósitos. |
| 2.4 | Los registros de CloudWatch los grupos de registros de Logs no se deben eliminar sin la aprobación explícita de su contacto de seguridad autorizado. |
| 3.0 | Retención de registros |
| 3.1 | Los grupos de CloudWatch registros exigidos por AMS deben tener un período de retención mínimo de 90 días en los registros. |
| 3.2 | Los depósitos S3 exigidos por AMS que almacenan los registros deben tener un período de retención mínimo de 18 meses. |
| 3.3 | AWS Backup las instantáneas deberían estar disponibles con una retención mínima de 31 días en los recursos compatibles. |
| 4.0 | Cifrado |
| 4.1 | El cifrado debe estar habilitado en todos los depósitos de S3 que necesiten los equipos de AMS que almacenen los registros. |
| 4.2 | Cualquier reenvío de registros desde las cuentas de los clientes a cualquier otra cuenta debe estar cifrado. |
| 5.0 | Integridad |
| 5.1 | El mecanismo de integridad del archivo de registro debe estar activado. La «validación del archivo de registro» debe estar configurada en las AWS CloudTrail rutas requeridas por los equipos de AMS. |
| 6.0 | Reenvío de registros |
| 6.1 | Cualquier registro se puede reenviar de una cuenta AMS a otra cuenta AMS del mismo cliente. |
| 6.2 | Cualquier registro se puede reenviar de AMS a una cuenta que no sea de AMS solo si la cuenta que no es de AMS es propiedad del mismo cliente de AMS. |
| 6.3 | Los registros de una cuenta de cliente no deben reenviarse a una cuenta de terceros (que no sea propiedad del cliente). |
## AMS-STD-008 - AMS-MAD
El siguiente es el control estándar para 008 - AMS-MAD
| ID | Norma técnica |
| --- | --- |
| 1.0 | Administración de accesos |
| 1.1 | Solo los usuarios con privilegios de AMS con inicios de sesión interactivos y tareas de automatización deben poder iniciar sesión en el host de administración para administrar el AD administrado en las cuentas de los clientes. |
| 1.2 | Los administradores de AD solo deben tener privilegios de administrador delegado (grupo de administradores delegados de AMS). |
| 1.3 | Los ingenieros que inicien sesión en los entornos de AD de los clientes (instancias o hosts de administración) deben tener un acceso limitado en el tiempo. |
| 1.4 | En una EC2 instancia, los clientes tienen acceso de solo lectura a los objetos de AD mediante las herramientas de administración remota del servidor. |
| 1.5 | No se deben permitir derechos administrativos al usuario o grupo de Active Directory. |
| 1.6 | AWS Se permite compartir el directorio con un Cuenta de AWS propietario del mismo cliente con una notificación de riesgo. |
| 2.0 | Cuentas de servicio |
| 2.1 | Las cuentas de servicios gestionados grupales (gMSA) se deben usar siempre que las aplicaciones las admitan en lugar de la cuenta de servicio estándar. |
| 2.2 | Todas las demás cuentas de servicio deben crearse después del proceso de aceptación del riesgo. |
| 2.3 | Los grupos de seguridad de AD no se deben reutilizar a menos que el cliente lo solicite explícitamente. Se deben crear nuevos grupos de AD. Los objetos informáticos que soliciten acceso a la cuenta de servicio deben agregarse al nuevo grupo de seguridad. |
| 2.4 | Todas las cuentas de servicio de gMSA deben añadirse a la unidad organizativa (OU) «Cuenta de servicio gestionada». |
| 2,5 | Todas las cuentas de servicio que no sean de GMSA deben agregarse a la OU «Usuarios→Cuentas de servicio». |
| 3.0 | Objetos de política de grupo (GPO) |
| 3.1 | No se debe modificar ninguna configuración del GPO «Configuración de Windows > Configuración de seguridad» si reduce la seguridad de la cuenta de alguna manera con respecto al estado actual. |
| 3.2 | En MALZ, que RFCs se envía desde una cuenta de aplicación que solicita la creación de un GPO, el GPO debe estar vinculado a la OU correspondiente a la cuenta de la aplicación. Los GPOs que afecten a todas las cuentas deben provenir de la cuenta de servicio compartido. |
| 3.3 | El tiempo de espera predeterminado de la sesión inactiva de RDP debe establecerse en 15 minutos para todos los servidores del dominio de Active Directory. |
| 4.0 | Confianza en Active Directory |
| 4.1 | Se permite la confianza saliente unidireccional (del directorio al directorio de clientes hospedado por AMS) si los reenviadores condicionales se enrutan a una VPC a través IPs de DX, VPC-peer o VPN. |
| 5.0 | Otros |
| 5.1 | El mecanismo de integridad del archivo de registro debe estar activado. La «validación del archivo de registro» debe estar configurada en las AWS CloudTrail rutas requeridas por los equipos de AMS. |
| 6.0 | Reenvío de registros |
| 6.1 | Los usuarios, grupos, objetos informáticos, unidades organizativas u otras entidades del cliente no deben utilizar la convención de nomenclatura de AMS según la convención de nomenclatura de AMS. |
| 6.2 | Todo OUs debe ser gestionado por AMS. |
## AMS-STD-009 - Diverso
El siguiente es el control estándar para 009 - Miscelánea
+ Si el cifrado está activado en un recurso, objeto, base de datos o sistema de archivos, no debe deshabilitarse.
# Cambios que introduzcan riesgos de seguridad altos o muy altos en su entorno
Los siguientes cambios introducen un riesgo de seguridad alto o muy alto en su entorno:
**AWS Identity and Access Management**
+ High\$1risk-IAM-001: Cree claves de acceso para la cuenta raíz
+ High\$1risk-IAM-002: modificación de la política de SCP para permitir un acceso adicional
+ High\$1risk-IAM-003: modificación de la política de SCP que podría dañar la infraestructura de AMS
+ High\$1Risk-IAM-004: Creación de una cuenta de cliente role/user con permisos variables en la infraestructura (escritura, gestión de permisos o etiquetado)
+ High\$1Risk-IAM-005: IAM aplica políticas de confianza entre las cuentas de AMS y las cuentas de terceros (que no son propiedad del cliente)
+ High\$1risk-IAM-006: políticas multicuenta para acceder a cualquier clave de KMS desde una cuenta de AMS (desde una cuenta de terceros)
+ High\$1risk-IAM-007: políticas multicuenta de cuentas de terceros para acceder a un bucket de S3 de un cliente de AMS o a recursos donde se puedan almacenar datos (como Amazon RDS, Amazon DynamoDB o Amazon Redshift)
+ High\$1Risk-IAM-008: asigne los permisos de IAM a cualquier infraestructura que modifique el permiso de la cuenta del cliente
+ High\$1risk-IAM-009: Permite publicar y leer todos los depósitos de S3 de la cuenta
+ High\$1risk-IAM-010: aprovisionamiento automatizado de IAM con permisos read/write
**Seguridad de la red**
+ High\$1RISK-NET-001: Abra los puertos de administración del sistema operativo SSH/22 o SSH/2222 (no SFTP/2222), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/ 5900-5901 TS/CITRIX/1494 o 1604, LDAP/389 o 636 y NETBIOS/137-139 desde Internet
+ High\$1risk-net-002: Abra los puertos de administración de bases de datos MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433 o cualquier puerto de administración de clientes desde Internet
+ High\$1risk-net-003: abra los puertos de aplicaciones HTTP/80, HTTPS/8443 y HTTPS/443 directamente en cualquier recurso informático. Por ejemplo, instancias, contenedores, etc. desde Internet EC2 ECS/EKS/Fargate
+ High\$1Risk-Net-004: cualquier cambio en los grupos de seguridad que controlan el acceso a la infraestructura AMS
+ High\$1risk-net-006: interconexión de VPC con la cuenta de terceros (que no es propiedad del cliente)
+ High\$1risk-net-007: Se ha añadido el firewall del cliente como punto de salida para todo el tráfico de AMS
+ High\$1risk-net-008: No se permite adjuntar archivos adjuntos a Transit Gateway a la cuenta de terceros
+ High\$1Risk-S3-001: Aprovisiona o habilita el acceso público en el bucket S3
**Registro**
+ CloudTrailHigh\$1risk-log-001: Desactivar. (Se requiere la aprobación del administrador del sitio de operaciones)
+ High\$1risk-log-002: inhabilita los registros de flujo de la VPC. (Se requiere la aprobación del administrador del sitio de operaciones)
+ High\$1risk-log-003: reenvío de registros mediante cualquier método (notificación de eventos S3, extracción mediante un agente SIEM, inserción mediante un agente SIEM, etc.) desde una cuenta gestionada por AMS a una cuenta de terceros (no propiedad del cliente)
+ High\$1risk-log-004: Utilice un registro que no sea de AMS para CloudTrail
**Seguridad del host**
+ High\$1risk-HOST-001: deshabilita la seguridad de End Point en la cuenta por cualquier motivo. (Se requiere la aprobación del administrador del sitio de operaciones)
+ High\$1Risk-Host-002: deshabilita la aplicación de parches en un recurso o a nivel de cuenta.
+ High\$1risk-host-003: Implementación de una instancia no administrada en la cuenta. EC2
+ High\$1risk-host-004: ejecutar un script personalizado proporcionado por el cliente.
+ High\$1risk-host-005: creación de cuentas de administrador local en las instancias.
+ High\$1Risk-Host-006: Excluye el escaneo de tipos o extensiones de archivo EPS de Trend Micro o deshabilita la protección contra malware en los terminales.
**nota**
No es obligatorio aceptar el riesgo para las normas de exclusión o GuardDuty supresión de antimalware de la EPS relacionadas con las pruebas de penetración o los análisis de vulnerabilidades o los problemas de rendimiento que afecten al servicio y que justifiquen la adopción de medidas proactivas. events/known En estas situaciones, basta con una notificación de riesgo.
+ High\$1risk-host-007: Crear para KeyPair EC2
+ High\$1risk-host-008: Deshabilite la seguridad del punto final en el EC2
+ High\$1risk-host-009: Cuentas que utilizan el sistema operativo End of Life (EOL)
**Misceláneo**
+ High\$1risk-enc-001: deshabilita el cifrado en cualquier recurso si está activado
**Active Directory administrado**
+ High\$1Risk-AD-001: proporciona derechos de administrador al usuario o grupo de Active Director
+ High\$1Risk-AD-002: políticas de GPO capaces de reducir la postura de seguridad de la cuenta