# Aspectos básicos de la seguridad
**Topics**
+ [SEC 1 ¿Cómo utiliza la carga de trabajo de forma segura?](w2aac19b7b5b5.md)
# SEC 1 ¿Cómo utiliza la carga de trabajo de forma segura?
Para utilizar la carga de trabajo de forma segura, debe adoptar prácticas recomendadas globales en cada área de seguridad. Lleve los requisitos y los procesos que ha definido en la excelencia operativa a un nivel de organización y carga de trabajo, y aplíquelo a todas las áreas. Mantenerse actualizado con AWS, las prácticas recomendadas del sector y la inteligencia de amenazas le ayudan a desarrollar el modelo de amenaza y los objetivos de control. La automatización de los procesos de seguridad, las pruebas y la validación le ayudan a escalar las operaciones de seguridad.
**Topics**
+ [SEC01-BP01 Separar cargas de trabajo utilizando cuentas](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Proteger la Cuenta de AWS](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 Identificar y validar objetivos de control](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Mantenerse al día de las amenazas de seguridad](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Mantenerse al día con las recomendaciones de seguridad](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP06 Automatizar la comprobación y validación de controles de seguridad en canalizaciones](sec_securely_operate_test_validate_pipeline.md)
+ [SEC01-BP07 Definir y priorizar riesgos con un modelo de amenazas](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Evaluar e implementar nuevos servicios y características de seguridad de forma periódica](sec_securely_operate_implement_services_features.md)
# SEC01-BP01 Separar cargas de trabajo utilizando cuentas
Comience pensando en la seguridad y la infraestructura para permitir a su organización establecer barreras de protección comunes a medida que crezcan sus cargas de trabajo. Este enfoque establece límites y controles entre cargas de trabajo. La separación en el nivel de cuenta es muy recomendable para aislar entornos de producción de los entornos de desarrollo y prueba, o para proporcionar un límite lógico sólido entre cargas de trabajo que procesen datos de distintos niveles de confidencialidad, según definan los requisitos de cumplimiento normativo externos (como PCI-DSS o HIPAA), y cargas de trabajo que no los procesen.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Use AWS Organizations: use AWS Organizations para aplicar la administración basada en políticas a varias Cuentas de AWS.
+ [Introducción a AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [Cómo utilizar las políticas de control de servicios para establecer barreras de protección de permisos entre cuentas de AWS Organizations ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ Considere el uso de AWS Control Tower: AWS Control Tower proporciona una forma sencilla de configurar y gestionar un nuevo entorno de AWS seguro y de varias cuentas basado en prácticas recomendadas.
+ [AWS Control Tower](https://aws.amazon.com/controltower/)
## Recursos
**Documentos relacionados:**
+ [Prácticas recomendadas de IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html?ref=wellarchitected)
+ [Boletines de seguridad](https://aws.amazon.com/security/security-bulletins)
+ [Directrices de auditoría de seguridad de AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html?ref=wellarchitected)
**Vídeos relacionados:**
+ [Administración de entornos de AWS con varias cuentas utilizando AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Prácticas recomendadas de seguridad al estilo Well-Architected ](https://youtu.be/u6BCVkXkPnM)
+ [Uso de AWS Control Tower para gestionar entornos de AWS con varias cuentas ](https://youtu.be/2t-VkWt0rKk)
# SEC01-BP02 Proteger la Cuenta de AWS
Hay una serie de aspectos para proteger sus Cuentas de AWS, incluida la protección del [usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)y no utilizarlo, además de mantener su información de contacto actualizada. Puede usar [AWS Organizations](https://aws.amazon.com/organizations/) para administrar y controlar de forma centralizada sus cuentas a medida que crece y escala sus cargas de trabajo en AWS. AWS Organizations le ayuda a administrar las cuentas, establecer controles y configurar los servicios en sus cuentas.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Use AWS Organizations: use AWS Organizations para aplicar la administración basada en políticas a varias Cuentas de AWS.
+ [Primeros pasos con AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [Cómo utilizar las políticas de control de servicios para establecer barreras de protección de permisos en su cuenta de AWS Organizations ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ Limite el uso del usuario raíz de AWS: solo utilice el usuario raíz para realizar tareas que lo requieran específicamente.
+ [ Tareas de AWS que requieren las credenciales del usuario raíz de la cuenta de AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+ Active la autenticación multifactor (MFA) para el usuario raíz: active MFA en el usuario raíz de Cuenta de AWS, si AWS Organizations no administra los usuarios raíz en su lugar.
+ [Usuario raíz ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+ Cambie periódicamente la contraseña del usuario raíz: cambiar la contraseña del usuario raíz reduce el riesgo de que se pueda utilizar una contraseña guardada. Esto es muy importante si no utiliza AWS Organizations y cualquier persona tiene acceso físico.
+ [ Cambiar la contraseña del usuario raíz de la Cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+ Active la notificación cuando se utilice el usuario raíz de la Cuenta de AWS: recibir notificaciones automáticamente reduce el riesgo.
+ [ How to receive notifications when your Cuenta de AWS’s root access keys are used (Cómo recibir notificaciones cuando se utilizan las claves de acceso raíz de su Cuenta de AWS) ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ Restrinja el acceso a las regiones agregadas recientemente: para las nuevas Regiones de AWS, los recursos de IAM, como los usuarios y los roles, solo se propagarán a las regiones que active.
+ [ Setting permissions to enable accounts for upcoming Regiones de AWS (Establecer permisos para habilitar cuentas para las próximas Regiones de AWS) ](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+ Considere AWS CloudFormation StackSets: puede usar CloudFormation StackSets para implementar recursos como políticas, roles y grupos de IAM en diferentes cuentas y regiones de Cuentas de AWS a partir de una plantilla aprobada.
+ [ Usar CloudFormation StackSets ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)
## Recursos
**Documentos relacionados:**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS Security Audit Guidelines (Directrices de auditoría de seguridad de AWS) ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Prácticas recomendadas de IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Boletines de seguridad ](https://aws.amazon.com/security/security-bulletins/)
**Vídeos relacionados:**
+ [ Enable AWS adoption at scale with automation and governance (Facilitar la adopción de AWS a escala con la automatización y la gobernanza) ](https://youtu.be/GUMSgdB-l6s)
+ [ Security Best Practices the Well-Architected Way (Prácticas recomendadas de seguridad a la forma Well-Architected) ](https://youtu.be/u6BCVkXkPnM)
**Ejemplos relacionados:**
+ [ Laboratorio: Cuenta de AWS y el usuario raíz ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP03 Identificar y validar objetivos de control
En función de sus requisitos de cumplimiento y los riesgos identificados a partir de su modelo de amenazas, derive y valide los objetivos de control y los controles que tiene que aplicar a su carga de trabajo. La validación continua de los objetivos de control y los controles le ayuda a medir la efectividad de la mitigación de riesgos.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Identificar los requisitos de cumplimiento: descubra los requisitos organizativos, legales y de conformidad que debe cumplir la carga de trabajo.
+ Identificar los recursos de cumplimiento de AWS: identifique los recursos que AWS tiene disponibles para ayudarle en términos de cumplimiento.
+ [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
+ [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/)
## Recursos
**Documentos relacionados:**
+ [ Directrices de auditoría de seguridad de AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Boletines de seguridad](https://aws.amazon.com/security/security-bulletins/)
**Vídeos relacionados:**
+ [AWS Security Hub CSPM: gestionar las alertas de seguridad y automatizar el cumplimiento](https://youtu.be/HsWtPG_rTak)
+ [Prácticas recomendadas de seguridad a la forma Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP04 Mantenerse al día de las amenazas de seguridad
Para ayudarle a definir e implementar los controles adecuados, reconozca los vectores de ataque manteniéndose al día de las últimas amenazas de seguridad. Use AWS Managed Services para facilitar la recepción de notificaciones de comportamientos inesperados o inusuales en sus cuentas de AWS. Investigue mediante herramientas de socios de AWS o orígenes de información sobre amenazas de terceros como parte de su flujo de información de seguridad. La [lista de vulnerabilidades y exposiciones comunes (CVE) ](https://cve.mitre.org/) contiene vulnerabilidades de ciberseguridad divulgadas públicamente que puede utilizar para estar al día.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Suscríbase a orígenes de inteligencia sobre amenazas: consulte periódicamente información de inteligencia de distintos orígenes que sean relevantes para las tecnologías que se usan en su carga de trabajo.
+ [Lista de vulnerabilidades y exposiciones comunes (CVE) ](https://cve.mitre.org/)
+ Considere [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) : proporciona visibilidad casi en tiempo real sobre los orígenes de inteligencia si se puede acceder a su carga de trabajo desde Internet.
## Recursos
**Documentos relacionados:**
+ [AWS Security Audit Guidelines (Directrices de auditoría de seguridad de AWS)](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [AWS Shield](https://aws.amazon.com/shield/)
+ [ Boletines de seguridad](https://aws.amazon.com/security/security-bulletins/)
**Vídeos relacionados:**
+ [Security Best Practices the Well-Architected Way (Prácticas recomendadas de seguridad a la forma Well-Architected) ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP05 Mantenerse al día con las recomendaciones de seguridad
Manténgase al día de las recomendaciones de seguridad de AWS y de todo el sector para hacer evolucionar la postura de seguridad de su carga de trabajo. [Los boletines de seguridad de AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) contienen información importante sobre la seguridad y las notificaciones de privacidad.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Siga las actualizaciones de AWS: suscríbase o compruebe regularmente las nuevas recomendaciones, consejos y trucos.
+ [Laboratorios de AWS Well-Architected](https://wellarchitectedlabs.com/?ref=wellarchitected)
+ [Blog de seguridad de AWS](https://aws.amazon.com/blogs/security/?ref=wellarchitected)
+ [Documentación de servicio de AWS](https://aws.amazon.com/documentation/?ref=wellarchitected)
+ Suscríbase a las noticias del sector: consulte habitualmente noticias de distintas fuentes que sean relevantes para las tecnologías que se utilicen en su carga de trabajo.
+ [Ejemplo: lista de vulnerabilidades y exposiciones comunes](https://cve.mitre.org/cve/?ref=wellarchitected)
## Recursos
**Documentos relacionados:**
+ [Boletines de seguridad](https://aws.amazon.com/security/security-bulletins/)
**Videos relacionados:**
+ [Prácticas recomendadas de seguridad a la forma Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP06 Automatizar la comprobación y validación de controles de seguridad en canalizaciones
Establezca referencias y plantillas seguras para mecanismos de seguridad que se comprueben y validen como parte de sus compilaciones, canalizaciones y procesos. Utilice herramientas y automatización para probar y validar todos los controles de seguridad de forma continua. Por ejemplo, escanee elementos como imágenes de máquinas y plantillas de infraestructura como código en busca de vulnerabilidades de seguridad, irregularidades y divergencias respecto de una referencia establecida en cada etapa. AWS CloudFormation Guard puede ayudarle a verificar que las plantillas de CloudFormation sean seguras, ahorrarle tiempo y reducir el riesgo de errores de configuración.
Reducir el número de configuraciones incorrectas de seguridad introducidas en un entorno de producción es fundamental. De este modo, establecer un control de calidad más exhaustivo y reducir los defectos durante el proceso de compilación facilitará obtener mejores resultados. Cuando sea posible, diseñe canalizaciones de integración e implementación continuas (CI/CD) para probar si hay problemas de seguridad. Las canalizaciones de CI/CD ofrecen la oportunidad de mejorar la seguridad en cada etapa de la compilación y la entrega. Las herramientas de seguridad de CI/CD también deben mantenerse actualizadas para mitigar las amenazas en evolución.
Realice un seguimiento de los cambios en la configuración de su carga de trabajo para ayudar con la auditoría normativa, la gestión de cambios y las investigaciones que puedan afectarle. Puede utilizar AWS Config para registrar y evaluar sus recursos de AWS y de terceros. Le permite evaluar y auditar de forma continua el cumplimiento general de las reglas y los paquetes de conformidad, que son conjuntos de reglas con acciones de corrección.
Entre las medidas de seguimiento de los cambios deberían incluirse cambios planificados que formen parte del proceso de control de cambios de la organización (lo que a veces se denomina "MACD": "mover", "agregar", "cambiar" y "eliminar", por sus siglas en inglés), cambios ad hoc o cambios inesperados, como incidentes. Los cambios pueden producirse en la infraestructura, pero también pueden estar relacionados con otras categorías, como los cambios en los repositorios de código, en los inventarios de aplicaciones e imágenes de máquinas, en los procesos y políticas o en la documentación.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana
## Guía para la implementación
+ Automatice la administración de la configuración: aplique y valide configuraciones seguras de forma automática mediante el uso de un servicio o herramienta de administración de la configuración.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Configurar una canalización de CI/CD en AWS](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)
## Recursos
**Documentos relacionados:**
+ [Cómo utilizar las políticas de control de servicios para establecer barreras de protección de permisos entre cuentas de AWS Organizations](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
**Videos relacionados:**
+ [Administración de entornos de AWS con varias cuentas utilizando AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Prácticas recomendadas de seguridad a la forma Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP07 Definir y priorizar riesgos con un modelo de amenazas
Utilice un modelo de amenazas para identificar y mantener un registro actualizado de las posibles amenazas. Priorice sus amenazas y adapte sus controles de seguridad para evitarlas, detectarlas y responder a ellas. Revise y actualice estos controles en el contexto de un panorama de seguridad en evolución.
El modelado de amenazas ofrece un enfoque sistemático que ayuda a la hora de detectar y abordar problemas de seguridad en las etapas tempranas del proceso de diseño. Cuanto antes, mejor, ya que la mitigación tiene un menor costo en comparación con las etapas posteriores del ciclo de vida.
Los pasos principales típicos del proceso de modelado de amenazas son:
1. Identificar activos, actores, puntos de entrada, componentes, casos prácticos y niveles de confianza, e incluirlos en un diagrama de diseño.
1. Identifique una lista de amenazas.
1. Para cada amenaza, identifique las mitigaciones, lo que podría incluir implementaciones de controles de seguridad.
1. Cree y revise una matriz de riesgos para determinar si la amenaza está convenientemente mitigada.
El modelado de amenazas es más eficaz cuando se lleva a cabo en el nivel de la carga de trabajo (o la característica de la carga de trabajo), lo que garantiza que todo el contexto esté disponible para su evaluación. Revise y actualice esta matriz a medida que evolucione su panorama de seguridad.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
+ Cree un modelo de amenazas: un modelo de amenazas puede ayudarle a detectar y abordar posibles amenazas de seguridad.
+ [NIST: Guía para un modelado de amenazas para sistemas centrados en los datos ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)
## Recursos
**Documentos relacionados:**
+ [Directrices de auditoría de seguridad de AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [Boletines de seguridad ](https://aws.amazon.com/security/security-bulletins/)
**Videos relacionados:**
+ [Prácticas recomendadas de seguridad a la forma Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP08 Evaluar e implementar nuevos servicios y características de seguridad de forma periódica
Evalúe e implemente servicios y características de seguridad de AWS y socios de AWS que le permitan desarrollar la postura de seguridad de su carga de trabajo. En el blog de seguridad de AWS se destacan nuevos servicios y características de AWS, guías de implementación y directrices de seguridad generales. [Novedades de AWS](https://aws.amazon.com/new) es una forma ideal de estar al día de las nuevas características, servicios y anuncios de AWS.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
+ Planifique revisiones periódicas: cree un calendario de actividades de revisión que incluya requisitos de cumplimiento, evaluación de nuevas características y servicios de seguridad de AWS y revisión de las noticias del sector.
+ Descubra servicios y características de AWS: descubra las características de seguridad disponibles para los servicios que está utilizando y las características nuevas que se vayan lanzando.
+ [ Blog de seguridad de AWS](https://aws.amazon.com/blogs/security/)
+ [ Boletines de seguridad de AWS](https://aws.amazon.com/security/security-bulletins/)
+ [Documentación de servicio de AWS](https://aws.amazon.com/documentation/)
+ Defina el proceso de incorporación de servicios de AWS: defina procesos para incorporar nuevos servicios de AWS. Incluya la forma en que evalúa los nuevos servicios de AWS en cuanto a su funcionalidad, así como los requisitos de conformidad de su carga de trabajo.
+ Pruebe nuevos servicios y características: pruebe nuevos servicios y características a medida que se publiquen en un entorno que no sea de producción y que replique de forma fidedigna uno de producción.
+ Implemente otros mecanismos de defensa: ponga en marcha mecanismos automatizados para defender su carga de trabajo, explore las opciones disponibles.
+ [Corrección de recursos de AWS disconformes con Reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
## Recursos
**Videos relacionados:**
+ [Prácticas recomendadas de seguridad a la forma Well-Architected ](https://youtu.be/u6BCVkXkPnM)