# Protección de la infraestructura
<a name="a-infrastructure-protection"></a>

**Topics**
+ [SEC 5 ¿Cómo protege sus redes?](w2aac19b7c11b5.md)
+ [SEC 6 ¿Cómo protege sus recursos informáticos?](w2aac19b7c11b7.md)

# SEC 5 ¿Cómo protege sus redes?
<a name="w2aac19b7c11b5"></a>

Cualquier carga de trabajo que tenga forma de conexión de red, ya sea internet o una red privada, requiere varias capas de defensa para protegerse de amenazas internas y externas basadas en la red.

**Topics**
+ [SEC05-BP01 Crear capas de red](sec_network_protection_create_layers.md)
+ [SEC05-BP02 Controlar el tráfico en todas las capas](sec_network_protection_layered.md)
+ [SEC05-BP03 Automatizar la protección de la red](sec_network_protection_auto_protect.md)
+ [SEC05-BP04 Implementar inspección y protección](sec_network_protection_inspection.md)

# SEC05-BP01 Crear capas de red
<a name="sec_network_protection_create_layers"></a>

 Agrupe los componentes que comparten requisitos de accesibilidad en capas. Por ejemplo, un clúster de base de datos en una nube virtual privada (VPC) sin necesidad de acceso a Internet debe colocarse en subredes sin enrutamiento hacia Internet o desde Internet. En una carga de trabajo sin servidor que funcione sin una VPC, una estratificación y segmentación similar con microservicios puede lograr el mismo objetivo. 

Los componentes como instancias Amazon Elastic Compute Cloud (Amazon EC2), clústeres de base de datos de Amazon Relational Database Service (Amazon RDS) y funciones AWS Lambda que comparten requisitos de accesibilidad pueden segmentarse en capas formadas por subredes. Por ejemplo, un clúster de base de datos de Amazon RDS en una VPC sin necesidad de acceso a Internet debe colocarse en subredes sin enrutamiento hacia Internet o desde Internet. Este enfoque por capas para los controles mitiga el impacto de una configuración errónea de una sola capa, que podría permitir un acceso involuntario. Para Lambda, puede ejecutar sus funciones en su VPC a fin de aprovechar los controles basados en VPC.

Para la conectividad de redes que pueden incluir miles de VPC, cuentas de AWS y redes locales, debe utilizar [AWS Transit Gateway](http://aws.amazon.com/transit-gateway). Sirve de centro que controla cómo se enruta el tráfico entre todas las redes conectadas, que actúan como radios. El tráfico entre una Amazon Virtual Private Cloud y AWS Transit Gateway permanece en la red privada de AWS, lo que reduce los vectores de amenazas externas, como los ataques de denegación de servicio distribuido (DDoS) y los ataques comunes, como la inyección de código SQL, los scripts entre sitios, la falsificación de solicitudes entre sitios o el abuso del código de autenticación dañado. El intercambio entre regiones de AWS Transit Gateway también cifra el tráfico entre regiones sin ningún punto de error o cuello de botella en el ancho de banda.

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Cree subredes en la VPC: cree subredes para cada capa (en grupos que incluyan varias zonas de disponibilidad) y asocie tablas de enrutamiento para controlar el enrutamiento. 
  +  [VPC y subredes ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
  +  [Tablas de enrutamiento ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) 
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+  [Seguridad de Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Introducción a AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Vídeos relacionados:** 
+  [AWS Transit Gateway reference architectures for many VPCs (Arquitecturas de referencia de AWS Transit Gateway para muchas VPC) ](https://youtu.be/9Nikqn_02Oc)
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Aceleración y protección de aplicaciones con Amazon CloudFront, AWS WAF y AWS Shield)](https://youtu.be/0xlwLEccRe0) 

 **Ejemplos relacionados:** 
+  [Laboratorio: Despliegue automatizado de VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP02 Controlar el tráfico en todas las capas
<a name="sec_network_protection_layered"></a>

  Al diseñar su topología de red, debería examinar los requisitos de conectividad de cada componente. Por ejemplo, si un componente requiere accesibilidad a Internet (entrante y saliente), conectividad a las VPC, servicios en la periferia y centros de datos externos. 

 Una VPC le permite definir su topología de red que abarca una Región de AWS, con un rango de direcciones IPv4 privadas que puede configurar o un rango de direcciones IPv6 que selecciona AWS. Debe aplicar múltiples controles con un enfoque de defensa en profundidad tanto para el tráfico entrante como para el saliente, incluido el uso de grupos de seguridad (firewall de inspección con estado), ACL de red, subredes y tablas de enrutamiento. Puede crear subredes en una zona de disponibilidad de una VPC. Cada subred puede tener una tabla de enrutamiento asociada que define las reglas para administrar las rutas que sigue el tráfico de la subred. Puede definir una subred que se pueda enrutar en Internet con una ruta que se dirija a una puerta de enlace de Internet o NAT asociada a la VPC o mediante otra VPC. 

 Cuando una instancia, una base de datos de Amazon Relational Database Service (Amazon RDS) u otro servicio se lanza en una VPC, tiene su propio grupo de seguridad por interfaz de red. Este firewall está situado fuera de la capa del sistema operativo y se puede usar para definir reglas sobre el tráfico entrante y saliente permitido. También puede definir las relaciones entre grupos de seguridad. Por ejemplo, las instancias de un grupo de seguridad de nivel de base de datos solo aceptan tráfico de instancias de nivel de aplicación, según la referencia de los grupos de seguridad aplicados a las instancias implicadas. A no ser que utilice protocolos que no sean TCP, no debería ser necesario disponer de una instancia de Amazon Elastic Compute Cloud (Amazon EC2) que sea directamente accesible desde Internet (ni siquiera con puertos restringidos por grupos de seguridad) sin un equilibrador de carga o [CloudFront](https://aws.amazon.com/cloudfront). Esto ayuda en la protección ante el acceso no intencionado debido a un problema con el sistema operativo o la aplicación. Una subred también puede tener una ACL de red asociada, que actúa como firewall sin estado. Debería configurar la ACL de red para que estreche el ámbito del tráfico permitido entre capas; tenga en cuenta que tiene que definir reglas tanto para el tráfico entrante como para el saliente. 

 Algunos servicios de AWS requieren que los componentes accedan a Internet para realizar llamadas a la API, donde están ubicados los [puntos de conexión de la API de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) . Otros servicios de AWS usan [Puntos de enlace de la VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) en sus Amazon VPC. Muchos servicios de AWS, incluidos Amazon S3 y Amazon DynamoDB, son compatibles con los puntos de conexión de VPC, y esta tecnología se ha generalizado en [AWS PrivateLink](https://aws.amazon.com/privatelink/). Le recomendamos que utilice este enfoque para acceder a servicios de AWS, servicios de terceros y sus propios servicios alojados en otras VPC de forma segura. Todo el tráfico de red de AWS PrivateLink permanece en la estructura global de AWS y nunca pasa por Internet. La conectividad solamente la puede iniciar el consumidor del servicio y no el proveedor de este. El uso de AWS PrivateLink para el acceso de un servicio externo le permite crear VPC aisladas por espacios vacíos sin acceso a Internet y ayuda a proteger sus VPC de vectores de amenaza externos. Los servicios de terceros pueden usar AWS PrivateLink para permitir que sus clientes se conecten a los servicios de sus VPC a través de direcciones IP privadas. Para activos de VPC que necesiten realizar conexiones salientes a Internet, se pueden establecer para que sean solo salientes (unidireccionales) mediante una puerta de enlace NAT administrada por AWS, puertas de enlace de Internet solo salientes o proxies web que cree y administre. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Controlar el tráfico de web en una VPC: implemente prácticas recomendadas de VPC para controlar el tráfico. 
  +  [Seguridad de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) 
  +  [Puntos de enlace de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) 
  +  [Grupo de seguridad de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) 
  +  [ACL de red](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) 
+  Controlar el tráfico en la periferia: implemente servicios en la periferia, como Amazon CloudFront, para proporcionar una capa adicional de protección y otras características. 
  +  [Casos de uso de Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html) 
  +  [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html) 
  +  [Firewall para aplicaciones web de AWS (AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html) 
  +  [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) 
  +  [Enrutamiento de entrada de Amazon VPC](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/) 
+  Controlar el tráfico de red privado: implemente servicios que protejan el tráfico privado para su carga de trabajo. 
  +  [Interconexión de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) 
  +  [Servicios de punto de conexión de Amazon VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html) 
  +  [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 
  +  [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 
  +  [AWS Site-to-site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 
  +  [AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html) 
  +  [Puntos de acceso de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html) 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+  [Introducción a AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Vídeos relacionados:** 
+  [Arquitecturas de referencia de AWS Transit Gateway para muchas VPC](https://youtu.be/9Nikqn_02Oc) 
+  [Aceleración y protección de aplicaciones con Amazon CloudFront, AWS WAF y AWS Shield](https://youtu.be/0xlwLEccRe0)

 **Ejemplos relacionados:** 
+  [Laboratorio: Despliegue automatizado de VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP03 Automatizar la protección de la red
<a name="sec_network_protection_auto_protect"></a>

 Automatice los mecanismos de protección para proporcionar una red de autodefensa basada en la inteligencia de amenazas y la detección de anomalías. Por ejemplo, las herramientas de detección y prevención de intrusiones que puedan adaptarse a las amenazas actuales y reducir su impacto. Un firewall de una aplicación web es un ejemplo de dónde puede automatizar la protección de la red, por ejemplo, utilizando la solución AWS WAF Security Automations ([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations)) para bloquear automáticamente las solicitudes que se originen en direcciones IP asociadas con actores de amenazas conocidos. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Automatice la protección para el tráfico basado en la web: AWS ofrece una solución que utiliza AWS CloudFormation para desplegar automáticamente un conjunto de reglas de AWS WAF diseñadas para filtrar ataques basados en web frecuentes. Los usuarios pueden seleccionar entre funciones de protección preconfiguradas que definen las reglas incluidas en una lista de control de acceso web de AWS WAF (ACL web). 
  +  [Automatizaciones de seguridad de AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/) 
+  Plantéese soluciones de AWS Partner: los socios de AWS ofrecen cientos de productos destacados que son equivalentes o idénticos a los controles que ya utiliza en sus entornos locales o que pueden integrarse con ellos. Estos productos complementan a los servicios de AWS existentes y le permiten implementar una completa arquitectura de seguridad, así como disfrutar de una experiencia más coherente tanto en la nube como en los entornos locales. 
  +  [Seguridad de la infraestructura](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+ [Seguridad del Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+  [Introducción a AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Videos relacionados:** 
+  [Arquitecturas de referencia de AWS Transit Gateway para muchas VPC](https://youtu.be/9Nikqn_02Oc) 
+  [Aceleración y protección de aplicaciones con Amazon CloudFront, AWS WAF y AWS Shield](https://youtu.be/0xlwLEccRe0)

 **Ejemplos relacionados:** 
+  [Laboratorio: Despliegue automatizado de VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP04 Implementar inspección y protección
<a name="sec_network_protection_inspection"></a>

 Inspeccione y filtre el tráfico en cada capa. Puede inspeccionar las configuraciones de VPC para buscar posibles accesos no deseados mediante [Analizador de acceso de red de VPC](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html). Puede especificar los requisitos de acceso a la red e identificar las posibles rutas de red que no los cumplan. En el caso de los componentes que realizan transacciones a través de protocolos basados en HTTP, un firewall de aplicaciones web puede ayudar a protegerlos de los ataques más habituales. [AWS WAF](https://aws.amazon.com/waf) es un firewall de aplicaciones web que le permite supervisar y bloquear las solicitudes HTTP(s) que coincidan con sus reglas configurables y que se reenvíen a una API de Amazon API Gateway, Amazon CloudFront o un Application Load Balancer. Para empezar con AWS WAF, puede usar [Reglas administradas de AWS](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) en combinación con sus propias [integraciones socios o utilizar las existentes](https://aws.amazon.com/waf/partners/). 

 Para administrar AWS WAF, las protecciones de AWS Shield Advanced y los grupos de seguridad de Amazon VPC en AWS Organizations, puede utilizar AWS Firewall Manager. Le permite configurar y administrar de forma centralizada las reglas de firewall en todas sus cuentas y aplicaciones, lo que facilita escalar la aplicación de las reglas comunes. También le permite responder rápidamente a los ataques, con [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html)o [soluciones](https://aws.amazon.com/solutions/aws-waf-security-automations/) que puede bloquear automáticamente las solicitudes no deseadas a sus aplicaciones web. Firewall Manager también funciona con [AWS Network Firewall](https://aws.amazon.com/network-firewall/). AWS Network Firewall es un servicio administrado que utiliza un motor de reglas para ofrecerle un control detallado del tráfico de red con estado y sin estado. Es compatible con las especificaciones del sistema de prevención de intrusiones (IPS) de código abierto [compatibles con Suricata](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html)  para ayudar a proteger su carga de trabajo. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Configure Amazon GuardDuty: GuardDuty es un servicio de detección de amenazas que supervisa sin descanso cualquier actividad malintencionada o comportamiento no autorizado para proteger sus cargas de trabajo y sus Cuentas de AWS. Active GuardDuty y configure alertas automatizadas. 
  +  [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 
  +  [Laboratorio: Despliegue automatizado de controles de detección](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html) 
+  Configure los registros de flujo de nube virtual privada (VPC): la característica de registros de flujo de VPC permite registrar información acerca del tráfico IP que entra y sale de las interfaces de red en la VPC. Los datos de registro de flujo se pueden publicar en Amazon CloudWatch Logs y Amazon Simple Storage Service (Amazon S3). Cuando cree un registro de flujo, podrá recuperar y ver sus datos en el destino elegido. 
+  Considere el reflejo de tráfico de VPC: el reflejo de tráfico es una característica de Amazon VPC que puede utilizar para copiar el tráfico de red de una interfaz de red elástica de instancias de Amazon Elastic Compute Cloud (Amazon EC2) y, a continuación, enviarlo a dispositivos de seguridad y supervisión fuera de banda para la inspección de contenido, la supervisión de amenazas y la resolución de problemas. 
  +  [Reflejo de tráfico de VPC](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+  [Seguridad de Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Introducción a AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Vídeos relacionados:** 
+  [AWS Transit Gateway reference architectures for many VPCs (Arquitecturas de referencia de AWS Transit Gateway para muchas VPC)](https://youtu.be/9Nikqn_02Oc) 
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Aceleración y protección de aplicaciones con Amazon CloudFront, AWS WAF y AWS Shield)](https://youtu.be/0xlwLEccRe0) 

 **Ejemplos relacionados:** 
+  [Laboratorio: Despliegue automatizado de VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC 6 ¿Cómo protege sus recursos informáticos?
<a name="w2aac19b7c11b7"></a>

Los recursos informáticos en su carga de trabajo requieren varias capas de defensa para ayudar a protegerse de amenazas externas e internas. Entre los recursos informáticos se incluyen instancias EC2, contenedores, funciones de AWS Lambda, servicios de bases de datos, dispositivos IoT, etc.

**Topics**
+ [SEC06-BP01 Administrar las vulnerabilidades](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 Reducir la superficie expuesta a ataques](sec_protect_compute_reduce_surface.md)
+ [SEC06-BP03 Implementar servicios administrados](sec_protect_compute_implement_managed_services.md)
+ [SEC06-BP04 Automatizar la protección informática](sec_protect_compute_auto_protection.md)
+ [SEC06-BP05 Permitir que los usuarios realicen acciones a distancia](sec_protect_compute_actions_distance.md)
+ [SEC06-BP06 Validar la integridad del software](sec_protect_compute_validate_software_integrity.md)

# SEC06-BP01 Administrar las vulnerabilidades
<a name="sec_protect_compute_vulnerability_management"></a>

 Busque y analice con frecuencia vulnerabilidades en su código, sus dependencias y su infraestructura para ayudarle a protegerse contra las nuevas amenazas. 

 Empezando por la configuración de su infraestructura de computación, puede automatizar la creación y actualización de recursos con AWS CloudFormation. CloudFormation le permite crear plantillas en YAML o JSON, a partir de ejemplos de AWS o escribiendo las suyas propias. Esto le permite crear plantillas de infraestructura seguras de forma predeterminada que puede verificar con [CloudFormation Guard](https://aws.amazon.com/about-aws/whats-new/2020/10/aws-cloudformation-guard-an-open-source-cli-for-infrastructure-compliance-is-now-generally-available/), lo que le ahorra tiempo y reduce el riesgo de errores de configuración. Puede desarrollar su infraestructura y desplegar sus aplicaciones con una entrega continua, por ejemplo, con [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html), para automatizar la compilación, las pruebas y la publicación. 

 Usted es el responsable de la administración de parches para sus recursos de AWS, incluidas las instancias de Amazon Elastic Compute Cloud (Amazon EC2), las imágenes de máquina de Amazon (AMI) y muchos otros recursos de computación. En cuanto a las instancias Amazon EC2, AWS Systems Manager Patch Manager automatiza el proceso de aplicación de parches a instancias administradas con actualizaciones de seguridad y de otro tipo. Puede utilizar Patch Manager para aplicar parches tanto para sistemas operativos como para aplicaciones. (En Windows Server, la compatibilidad con aplicaciones está limitada a las actualizaciones de aplicaciones de Microsoft). Puede usar Patch Manager para instalar packs de servicio en instancias Windows y realizar mejoras de versiones menores en instancias Linux. Puede aplicar parches a flotas de instancias Amazon EC2 o a sus servidores y máquinas virtuales (VM) locales por tipo de sistema operativo. Esto incluye las versiones compatibles de Windows Server, Amazon Linux, Amazon Linux 2, CentOS, Debian Server, Oracle Linux, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise Server (SLES) y Ubuntu Server. Puede analizar instancias para ver solamente un informe de los parches que faltan, o puede analizar e instalar automáticamente todos los parches que falten. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Configure Amazon Inspector: Amazon Inspector comprueba la accesibilidad de red de sus instancias Amazon Elastic Compute Cloud (Amazon EC2) y el estado de seguridad de las aplicaciones que se ejecutan en esas instancias. Amazon Inspector evalúa las aplicaciones para analizar la exposición, las vulnerabilidades y las desviaciones con respecto a las prácticas recomendadas. 
  +  [¿Qué es Amazon Inspector?](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html) 
+  Analice el código fuente: analice las bibliotecas y las dependencias en busca de vulnerabilidades. 
  +  [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) 
  +  [OWASP: herramientas de análisis de código fuente](https://owasp.org/www-community/Source_Code_Analysis_Tools) 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Sustitución de un host bastión con Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Información general de seguridad de AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Vídeos relacionados:** 
+  [Ejecución de cargas de trabajo de alta seguridad en Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Protección de servicios de contenedor y sin servidor](https://youtu.be/kmSdyN9qiXY) 
+  [Prácticas recomendadas de seguridad para el servicio de metadatos de instancias Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Ejemplos relacionados:** 
+  [Laboratorio: despliegue de un firewall para aplicaciones web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 

# SEC06-BP02 Reducir la superficie expuesta a ataques
<a name="sec_protect_compute_reduce_surface"></a>

 Reduzca su exposición al acceso no intencionado endureciendo los sistemas operativos y minimizando los componentes, bibliotecas y servicios consumibles externamente que se estén utilizando. Puede comenzar por reducir los componentes no utilizados, ya sean paquetes de sistemas operativos, aplicaciones para cargas de trabajo basadas en Amazon Elastic Compute Cloud (Amazon EC2) o módulos de software externos en su código, para todas las cargas de trabajo. Puede encontrar muchas guías de endurecimiento y configuración de seguridad para sistemas operativos y software de servidores comunes. Por ejemplo, puede empezar por el [Centro para la seguridad de Internet](https://www.cisecurity.org/) e iterar a partir de ahí.

 En Amazon EC2, puede crear sus propias imágenes de máquina de Amazon (AMI), a las que habrá aplicado parches y habrá endurecido, para ayudarle a cumplir los requisitos de seguridad específicos de su organización. Los parches y otros controles de seguridad que apliquen en la AMI serán efectivos en el momento en el que se crearon, no son dinámicos a no ser que los modifique tras el lanzamiento, por ejemplo con AWS Systems Manager. 

 Puede simplificar el proceso de creación de AMI seguras con EC2 Image Builder. EC2 Image Builder reduce significativamente el esfuerzo necesario para crear y mantener imágenes golden sin escribir ni mantener automatizaciones. Cuando hay disponibles actualizaciones de software, Image Builder produce automáticamente una nueva imagen sin exigir a los usuarios que inicien manualmente creaciones de imágenes. EC2 Image Builder le permite validar fácilmente la funcionalidad y seguridad de sus imágenes antes de usarlas en producción con pruebas propias o proporcionadas por AWS. También puede aplicar la configuración de seguridad facilitada por AWS para proteger aún más sus imágenes de modo que cumplan criterios de seguridad internos. Por ejemplo, puede producir imágenes que se ajusten al estándar Security Technical Implementation Guide (STIG) con plantillas proporcionadas por AWS. 

 Mediante el uso de herramientas de análisis de código estático de terceros, puede identificar problemas de seguridad comunes como enlaces de entrada de funciones sin comprobar, además de vulnerabilidades y exposiciones comunes aplicables (CVE). Puede usar [Amazon CodeGuru](https://aws.amazon.com/codeguru/) para los lenguajes compatibles. Las herramientas de comprobación de dependencias también se pueden usar para determinar si las bibliotecas con las que se vincula su código están actualizadas a su última versión, si no tienen CVE y si tienen condiciones de licencia que se ajusten a sus requisitos de política del software. 

 Con Amazon Inspector, puede llevar a cabo evaluaciones de configuración de sus instancias en busca de CVE conocidos, evaluarlas en función de referencias de seguridad y automatizar la notificación de defectos. Amazon Inspector se ejecuta en instancias de producción o en una canalización de compilación y notifica a los desarrolladores e ingenieros cuando detecten algún hallazgo. Puede acceder a los hallazgos programáticamente y dirigir el equipo a trabajos pendientes y sistemas de seguimiento de errores. [EC2 Image Builder](https://aws.amazon.com/image-builder/) se puede usar para mantener imágenes de servidor (AMI) con aplicación de parches automática, aplicación de políticas de seguridad proporcionadas por AWS y otras personalizaciones. Al usar contenedores, implemente el [análisis de imágenes de ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) en su canalización de compilación y aplíquelo de forma frecuente a su repositorio de imágenes para buscar CVE en sus contenedores. 

 Aunque Amazon Inspector y otras herramientas son eficaces a la hora de identificar configuraciones y cualquier CVE que pudiese constar, son necesarios otros métodos para comprobar su carga de trabajo en el nivel de la aplicación. [El fuzzing](https://owasp.org/www-community/Fuzzing) es un método conocido de detección de errores utilizando la automatización para inyectar datos con un formato incorrecto en los campos de entrada y otras áreas de su aplicación. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Endurezca el sistema operativo: configure el sistema operativo para cumplir con las prácticas recomendadas. 
  +  [Protección de Amazon Linux](https://www.cisecurity.org/benchmark/amazon_linux/) 
  +  [Protección de Microsoft Windows Server](https://www.cisecurity.org/benchmark/microsoft_windows_server/) 
+  Endurezca los recursos en contenedores: configure los recursos en contenedores para cumplir con las prácticas recomendadas de seguridad. 
+  Implemente prácticas recomendadas de AWS Lambda. 
  +  [Prácticas recomendadas de AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html) 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Sustitución de un host bastión con Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Información general de seguridad de AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Videos relacionados:** 
+  [Ejecución de cargas de trabajo de alta seguridad en Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Protección de servicios de contenedor y sin servidor](https://youtu.be/kmSdyN9qiXY) 
+  [Prácticas recomendadas de seguridad para el servicio de metadatos de instancias Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Ejemplos relacionados:** 
+  [Laboratorio: Despliegue de un firewall para aplicaciones web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 

# SEC06-BP03 Implementar servicios administrados
<a name="sec_protect_compute_implement_managed_services"></a>

 Implemente servicios que administren recursos, como Amazon Relational Database Service (Amazon RDS), AWS Lambda y Amazon Elastic Container Service (Amazon ECS), para reducir sus tareas de mantenimiento de seguridad como parte del modelo de responsabilidad compartida. Por ejemplo, Amazon RDS le ayuda a configurar, operar y escalar una base de datos relacional, y automatiza tareas administrativas, como el aprovisionamiento de hardware, la configuración de bases de datos, la aplicación de parches y la creación de copias de seguridad. Esto significa que tendrá más tiempo libre para centrarse en proteger su aplicación de otras maneras descritas en AWS Well-Architected Framework. Lambda le permite ejecutar código sin aprovisionar ni administrar servidores, de modo que solo tendrá que centrarse en la conectividad, invocación y seguridad en el nivel del código, y no en la infraestructura ni en el sistema operativo. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Explore los servicios disponibles: explore, pruebe e implemente servicios que administren recursos, como Amazon RDS, AWS Lambda y Amazon ECS. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+ [ Sitio web de AWS](https://aws.amazon.com/)
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Sustitución de un host bastión con Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Información general de seguridad de AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Vídeos relacionados:** 
+  [Ejecución de cargas de trabajo de alta seguridad en Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Protección de servicios de contenedor y sin servidor](https://youtu.be/kmSdyN9qiXY) 
+  [Prácticas recomendadas de seguridad para el servicio de metadatos de instancias Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Ejemplos relacionados:** 
+ [Laboratorio: solicitar un certificado público en AWS Certificate Manager ](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)

# SEC06-BP04 Automatizar la protección informática
<a name="sec_protect_compute_auto_protection"></a>

 Automatice sus mecanismos de protección informática, incluida la administración de vulnerabilidades, la reducción de superficies expuestas a ataques y la administración de recursos. La automatización le ayudará a dedicar tiempo a proteger otros aspectos de su carga de trabajo y a reducir el riesgo de errores humanos. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Automatizar la administración de la configuración: aplique y valide configuraciones seguras de forma automática mediante el uso de un servicio o herramienta de administración de la configuración. 
  +  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
  +  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
  +  [Laboratorio: Despliegue automatizado de VPC](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 
  +  [Laboratorio: Despliegue automatizado de una aplicación web en EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html) 
+  Automatizar la aplicación de revisiones en instancias Amazon Elastic Compute Cloud (Amazon EC2): Patch Manager de AWS Systems Manager automatiza el proceso de aplicación de revisiones a instancias administradas con actualizaciones de seguridad y de otro tipo. Puede utilizar Patch Manager para aplicar revisiones tanto para sistemas operativos como para aplicaciones. 
  +  [Patch Manager de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) 
  +  [Implementación de revisiones centralizadas para varias regiones y cuentas con Automatización de AWS Systems Manager](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/) 
+  Implementar la detección y prevención de intrusiones: implemente una herramienta de detección y prevención de intrusiones para supervisar y detener las actividades maliciosas en las instancias. 
+  Considerar soluciones de AWS Partner: los socios de AWS ofrecen cientos de productos destacados que son equivalentes o idénticos a los controles que ya utiliza en sus entornos locales o que pueden integrarse con ellos. Estos productos complementan a los servicios de AWS existentes y le permiten implementar una completa arquitectura de seguridad, así como disfrutar de una experiencia más coherente tanto en la nube como en los entornos locales. 
  +  [Seguridad de la infraestructura](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Patch Manager de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) 
+  [Implementación de revisiones centralizadas para varias regiones y cuentas con Automatización de AWS Systems Manager](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/) 
+  [Seguridad de la infraestructura](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 
+  [Sustitución de un host bastión con Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Información general de seguridad de AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Vídeos relacionados:** 
+  [Ejecución de cargas de trabajo de alta seguridad en Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Protección de servicios de contenedor y sin servidor](https://youtu.be/kmSdyN9qiXY) 
+  [Prácticas recomendadas de seguridad para el servicio de metadatos de instancias de Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Ejemplos relacionados:** 
+  [Laboratorio: Despliegue de un firewall para aplicaciones web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 
+  [Laboratorio: Despliegue automatizado de una aplicación web en EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html) 

# SEC06-BP05 Permitir que los usuarios realicen acciones a distancia
<a name="sec_protect_compute_actions_distance"></a>

 La eliminación de la capacidad de acceder de forma interactiva reduce el riesgo de errores humanos y el potencial de llevar a cabo configuración o administración manuales. Por ejemplo, utilice un flujo de trabajo de administración de cambios para desplegar instancias de Amazon Elastic Compute Cloud (Amazon EC2) utilizando infraestructura como código, y después administre instancias de Amazon EC2 utilizando herramientas como AWS Systems Manager en lugar de permitir el acceso directo o mediante un host bastión. AWS Systems Manager puede automatizar una variedad de tareas de mantenimiento y despliegue, utilizando características como [automatización](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [de automatización](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), [documentos](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (guías de estrategias) y el [comando de ejecución](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html). Las pilas de AWS CloudFormation se generan a partir de las canalizaciones y pueden automatizar el despliegue de su infraestructura y las tareas de administración sin usar directamente la Consola de administración de AWS o las API. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Sustituir el acceso a la consola: sustituya el acceso a la consola (SSH o RDP) a instancias con Run Command de AWS Systems Manager para automatizar las tareas de administración. 
+  [Run Command de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html) 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Run Command de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html) 
+  [Sustitución de un host bastión con Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Información general de seguridad de AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Vídeos relacionados:** 
+  [Ejecución de cargas de trabajo de alta seguridad en Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Protección de servicios de contenedor y sin servidor](https://youtu.be/kmSdyN9qiXY) 
+  [Prácticas recomendadas de seguridad para el servicio de metadatos de instancias de Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Ejemplos relacionados:** 
+  [Laboratorio: Despliegue de un firewall para aplicaciones web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 

# SEC06-BP06 Validar la integridad del software
<a name="sec_protect_compute_validate_software_integrity"></a>

 Implemente mecanismos (por ejemplo, firma de código) para validar que el software, el código y las bibliotecas que se utilizan en la carga de trabajo procedan de fuentes de confianza y no se hayan manipulado. Por ejemplo, debería verificar el certificado de firma de código de binarios y scripts para confirmar el autor y asegurarse de que no se haya manipulado desde que el autor lo creó. [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) puede ayudar a garantizar la confianza e integridad de su código administrando de forma centralizada el ciclo de vida de la firma del código, incluida la certificación de la firma y las claves públicas y privadas. Puede aprender a usar patrones avanzados y prácticas recomendadas para la firma de código con [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/). Además, comparar la suma de comprobación de un software que haya descargado con la suma de comprobación del proveedor puede ayudar a garantizar que no haya existido manipulación alguna. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Investigue mecanismos: la firma de código es un mecanismo que se puede usar para validar la integridad del software. 
  +  [NIST: consideraciones de seguridad para la firma de código](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf) 

## Recursos
<a name="resources"></a>

**Documentos relacionados:** 
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [Nuevo: Firma de código, un control de confianza e integridad para AWS Lambda](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)