# Seguridad
**Topics**
+ [Aspectos básicos de la seguridad](a-sec-security.md)
+ [Identity and Access Management](a-identity-and-access-management.md)
+ [Detección](a-detective-controls.md)
+ [Protección de la infraestructura](a-infrastructure-protection.md)
+ [Protección de los datos](a-data-protection.md)
+ [Respuesta ante incidentes](a-incident-response.md)
# Aspectos básicos de la seguridad
**Topics**
+ [SEC 1 ¿Cómo utiliza la carga de trabajo de forma segura?](w2aac19b7b5b5.md)
# SEC 1 ¿Cómo utiliza la carga de trabajo de forma segura?
Para utilizar la carga de trabajo de forma segura, debe adoptar prácticas recomendadas globales en cada área de seguridad. Lleve los requisitos y los procesos que ha definido en la excelencia operativa a un nivel de organización y carga de trabajo, y aplíquelo a todas las áreas. Mantenerse actualizado con AWS, las prácticas recomendadas del sector y la inteligencia de amenazas le ayudan a desarrollar el modelo de amenaza y los objetivos de control. La automatización de los procesos de seguridad, las pruebas y la validación le ayudan a escalar las operaciones de seguridad.
**Topics**
+ [SEC01-BP01 Separar cargas de trabajo utilizando cuentas](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Proteger la Cuenta de AWS](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 Identificar y validar objetivos de control](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Mantenerse al día de las amenazas de seguridad](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Mantenerse al día con las recomendaciones de seguridad](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP06 Automatizar la comprobación y validación de controles de seguridad en canalizaciones](sec_securely_operate_test_validate_pipeline.md)
+ [SEC01-BP07 Definir y priorizar riesgos con un modelo de amenazas](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Evaluar e implementar nuevos servicios y características de seguridad de forma periódica](sec_securely_operate_implement_services_features.md)
# SEC01-BP01 Separar cargas de trabajo utilizando cuentas
Comience pensando en la seguridad y la infraestructura para permitir a su organización establecer barreras de protección comunes a medida que crezcan sus cargas de trabajo. Este enfoque establece límites y controles entre cargas de trabajo. La separación en el nivel de cuenta es muy recomendable para aislar entornos de producción de los entornos de desarrollo y prueba, o para proporcionar un límite lógico sólido entre cargas de trabajo que procesen datos de distintos niveles de confidencialidad, según definan los requisitos de cumplimiento normativo externos (como PCI-DSS o HIPAA), y cargas de trabajo que no los procesen.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Use AWS Organizations: use AWS Organizations para aplicar la administración basada en políticas a varias Cuentas de AWS.
+ [Introducción a AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [Cómo utilizar las políticas de control de servicios para establecer barreras de protección de permisos entre cuentas de AWS Organizations ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ Considere el uso de AWS Control Tower: AWS Control Tower proporciona una forma sencilla de configurar y gestionar un nuevo entorno de AWS seguro y de varias cuentas basado en prácticas recomendadas.
+ [AWS Control Tower](https://aws.amazon.com/controltower/)
## Recursos
**Documentos relacionados:**
+ [Prácticas recomendadas de IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html?ref=wellarchitected)
+ [Boletines de seguridad](https://aws.amazon.com/security/security-bulletins)
+ [Directrices de auditoría de seguridad de AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html?ref=wellarchitected)
**Vídeos relacionados:**
+ [Administración de entornos de AWS con varias cuentas utilizando AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Prácticas recomendadas de seguridad al estilo Well-Architected ](https://youtu.be/u6BCVkXkPnM)
+ [Uso de AWS Control Tower para gestionar entornos de AWS con varias cuentas ](https://youtu.be/2t-VkWt0rKk)
# SEC01-BP02 Proteger la Cuenta de AWS
Hay una serie de aspectos para proteger sus Cuentas de AWS, incluida la protección del [usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)y no utilizarlo, además de mantener su información de contacto actualizada. Puede usar [AWS Organizations](https://aws.amazon.com/organizations/) para administrar y controlar de forma centralizada sus cuentas a medida que crece y escala sus cargas de trabajo en AWS. AWS Organizations le ayuda a administrar las cuentas, establecer controles y configurar los servicios en sus cuentas.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Use AWS Organizations: use AWS Organizations para aplicar la administración basada en políticas a varias Cuentas de AWS.
+ [Primeros pasos con AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [Cómo utilizar las políticas de control de servicios para establecer barreras de protección de permisos en su cuenta de AWS Organizations ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ Limite el uso del usuario raíz de AWS: solo utilice el usuario raíz para realizar tareas que lo requieran específicamente.
+ [ Tareas de AWS que requieren las credenciales del usuario raíz de la cuenta de AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+ Active la autenticación multifactor (MFA) para el usuario raíz: active MFA en el usuario raíz de Cuenta de AWS, si AWS Organizations no administra los usuarios raíz en su lugar.
+ [Usuario raíz ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+ Cambie periódicamente la contraseña del usuario raíz: cambiar la contraseña del usuario raíz reduce el riesgo de que se pueda utilizar una contraseña guardada. Esto es muy importante si no utiliza AWS Organizations y cualquier persona tiene acceso físico.
+ [ Cambiar la contraseña del usuario raíz de la Cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+ Active la notificación cuando se utilice el usuario raíz de la Cuenta de AWS: recibir notificaciones automáticamente reduce el riesgo.
+ [ How to receive notifications when your Cuenta de AWS’s root access keys are used (Cómo recibir notificaciones cuando se utilizan las claves de acceso raíz de su Cuenta de AWS) ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ Restrinja el acceso a las regiones agregadas recientemente: para las nuevas Regiones de AWS, los recursos de IAM, como los usuarios y los roles, solo se propagarán a las regiones que active.
+ [ Setting permissions to enable accounts for upcoming Regiones de AWS (Establecer permisos para habilitar cuentas para las próximas Regiones de AWS) ](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+ Considere AWS CloudFormation StackSets: puede usar CloudFormation StackSets para implementar recursos como políticas, roles y grupos de IAM en diferentes cuentas y regiones de Cuentas de AWS a partir de una plantilla aprobada.
+ [ Usar CloudFormation StackSets ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)
## Recursos
**Documentos relacionados:**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS Security Audit Guidelines (Directrices de auditoría de seguridad de AWS) ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Prácticas recomendadas de IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Boletines de seguridad ](https://aws.amazon.com/security/security-bulletins/)
**Vídeos relacionados:**
+ [ Enable AWS adoption at scale with automation and governance (Facilitar la adopción de AWS a escala con la automatización y la gobernanza) ](https://youtu.be/GUMSgdB-l6s)
+ [ Security Best Practices the Well-Architected Way (Prácticas recomendadas de seguridad a la forma Well-Architected) ](https://youtu.be/u6BCVkXkPnM)
**Ejemplos relacionados:**
+ [ Laboratorio: Cuenta de AWS y el usuario raíz ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP03 Identificar y validar objetivos de control
En función de sus requisitos de cumplimiento y los riesgos identificados a partir de su modelo de amenazas, derive y valide los objetivos de control y los controles que tiene que aplicar a su carga de trabajo. La validación continua de los objetivos de control y los controles le ayuda a medir la efectividad de la mitigación de riesgos.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Identificar los requisitos de cumplimiento: descubra los requisitos organizativos, legales y de conformidad que debe cumplir la carga de trabajo.
+ Identificar los recursos de cumplimiento de AWS: identifique los recursos que AWS tiene disponibles para ayudarle en términos de cumplimiento.
+ [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
+ [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/)
## Recursos
**Documentos relacionados:**
+ [ Directrices de auditoría de seguridad de AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Boletines de seguridad](https://aws.amazon.com/security/security-bulletins/)
**Vídeos relacionados:**
+ [AWS Security Hub CSPM: gestionar las alertas de seguridad y automatizar el cumplimiento](https://youtu.be/HsWtPG_rTak)
+ [Prácticas recomendadas de seguridad a la forma Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP04 Mantenerse al día de las amenazas de seguridad
Para ayudarle a definir e implementar los controles adecuados, reconozca los vectores de ataque manteniéndose al día de las últimas amenazas de seguridad. Use AWS Managed Services para facilitar la recepción de notificaciones de comportamientos inesperados o inusuales en sus cuentas de AWS. Investigue mediante herramientas de socios de AWS o orígenes de información sobre amenazas de terceros como parte de su flujo de información de seguridad. La [lista de vulnerabilidades y exposiciones comunes (CVE) ](https://cve.mitre.org/) contiene vulnerabilidades de ciberseguridad divulgadas públicamente que puede utilizar para estar al día.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Suscríbase a orígenes de inteligencia sobre amenazas: consulte periódicamente información de inteligencia de distintos orígenes que sean relevantes para las tecnologías que se usan en su carga de trabajo.
+ [Lista de vulnerabilidades y exposiciones comunes (CVE) ](https://cve.mitre.org/)
+ Considere [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) : proporciona visibilidad casi en tiempo real sobre los orígenes de inteligencia si se puede acceder a su carga de trabajo desde Internet.
## Recursos
**Documentos relacionados:**
+ [AWS Security Audit Guidelines (Directrices de auditoría de seguridad de AWS)](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [AWS Shield](https://aws.amazon.com/shield/)
+ [ Boletines de seguridad](https://aws.amazon.com/security/security-bulletins/)
**Vídeos relacionados:**
+ [Security Best Practices the Well-Architected Way (Prácticas recomendadas de seguridad a la forma Well-Architected) ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP05 Mantenerse al día con las recomendaciones de seguridad
Manténgase al día de las recomendaciones de seguridad de AWS y de todo el sector para hacer evolucionar la postura de seguridad de su carga de trabajo. [Los boletines de seguridad de AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) contienen información importante sobre la seguridad y las notificaciones de privacidad.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Siga las actualizaciones de AWS: suscríbase o compruebe regularmente las nuevas recomendaciones, consejos y trucos.
+ [Laboratorios de AWS Well-Architected](https://wellarchitectedlabs.com/?ref=wellarchitected)
+ [Blog de seguridad de AWS](https://aws.amazon.com/blogs/security/?ref=wellarchitected)
+ [Documentación de servicio de AWS](https://aws.amazon.com/documentation/?ref=wellarchitected)
+ Suscríbase a las noticias del sector: consulte habitualmente noticias de distintas fuentes que sean relevantes para las tecnologías que se utilicen en su carga de trabajo.
+ [Ejemplo: lista de vulnerabilidades y exposiciones comunes](https://cve.mitre.org/cve/?ref=wellarchitected)
## Recursos
**Documentos relacionados:**
+ [Boletines de seguridad](https://aws.amazon.com/security/security-bulletins/)
**Videos relacionados:**
+ [Prácticas recomendadas de seguridad a la forma Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP06 Automatizar la comprobación y validación de controles de seguridad en canalizaciones
Establezca referencias y plantillas seguras para mecanismos de seguridad que se comprueben y validen como parte de sus compilaciones, canalizaciones y procesos. Utilice herramientas y automatización para probar y validar todos los controles de seguridad de forma continua. Por ejemplo, escanee elementos como imágenes de máquinas y plantillas de infraestructura como código en busca de vulnerabilidades de seguridad, irregularidades y divergencias respecto de una referencia establecida en cada etapa. AWS CloudFormation Guard puede ayudarle a verificar que las plantillas de CloudFormation sean seguras, ahorrarle tiempo y reducir el riesgo de errores de configuración.
Reducir el número de configuraciones incorrectas de seguridad introducidas en un entorno de producción es fundamental. De este modo, establecer un control de calidad más exhaustivo y reducir los defectos durante el proceso de compilación facilitará obtener mejores resultados. Cuando sea posible, diseñe canalizaciones de integración e implementación continuas (CI/CD) para probar si hay problemas de seguridad. Las canalizaciones de CI/CD ofrecen la oportunidad de mejorar la seguridad en cada etapa de la compilación y la entrega. Las herramientas de seguridad de CI/CD también deben mantenerse actualizadas para mitigar las amenazas en evolución.
Realice un seguimiento de los cambios en la configuración de su carga de trabajo para ayudar con la auditoría normativa, la gestión de cambios y las investigaciones que puedan afectarle. Puede utilizar AWS Config para registrar y evaluar sus recursos de AWS y de terceros. Le permite evaluar y auditar de forma continua el cumplimiento general de las reglas y los paquetes de conformidad, que son conjuntos de reglas con acciones de corrección.
Entre las medidas de seguimiento de los cambios deberían incluirse cambios planificados que formen parte del proceso de control de cambios de la organización (lo que a veces se denomina "MACD": "mover", "agregar", "cambiar" y "eliminar", por sus siglas en inglés), cambios ad hoc o cambios inesperados, como incidentes. Los cambios pueden producirse en la infraestructura, pero también pueden estar relacionados con otras categorías, como los cambios en los repositorios de código, en los inventarios de aplicaciones e imágenes de máquinas, en los procesos y políticas o en la documentación.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana
## Guía para la implementación
+ Automatice la administración de la configuración: aplique y valide configuraciones seguras de forma automática mediante el uso de un servicio o herramienta de administración de la configuración.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Configurar una canalización de CI/CD en AWS](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)
## Recursos
**Documentos relacionados:**
+ [Cómo utilizar las políticas de control de servicios para establecer barreras de protección de permisos entre cuentas de AWS Organizations](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
**Videos relacionados:**
+ [Administración de entornos de AWS con varias cuentas utilizando AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Prácticas recomendadas de seguridad a la forma Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP07 Definir y priorizar riesgos con un modelo de amenazas
Utilice un modelo de amenazas para identificar y mantener un registro actualizado de las posibles amenazas. Priorice sus amenazas y adapte sus controles de seguridad para evitarlas, detectarlas y responder a ellas. Revise y actualice estos controles en el contexto de un panorama de seguridad en evolución.
El modelado de amenazas ofrece un enfoque sistemático que ayuda a la hora de detectar y abordar problemas de seguridad en las etapas tempranas del proceso de diseño. Cuanto antes, mejor, ya que la mitigación tiene un menor costo en comparación con las etapas posteriores del ciclo de vida.
Los pasos principales típicos del proceso de modelado de amenazas son:
1. Identificar activos, actores, puntos de entrada, componentes, casos prácticos y niveles de confianza, e incluirlos en un diagrama de diseño.
1. Identifique una lista de amenazas.
1. Para cada amenaza, identifique las mitigaciones, lo que podría incluir implementaciones de controles de seguridad.
1. Cree y revise una matriz de riesgos para determinar si la amenaza está convenientemente mitigada.
El modelado de amenazas es más eficaz cuando se lleva a cabo en el nivel de la carga de trabajo (o la característica de la carga de trabajo), lo que garantiza que todo el contexto esté disponible para su evaluación. Revise y actualice esta matriz a medida que evolucione su panorama de seguridad.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
+ Cree un modelo de amenazas: un modelo de amenazas puede ayudarle a detectar y abordar posibles amenazas de seguridad.
+ [NIST: Guía para un modelado de amenazas para sistemas centrados en los datos ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)
## Recursos
**Documentos relacionados:**
+ [Directrices de auditoría de seguridad de AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [Boletines de seguridad ](https://aws.amazon.com/security/security-bulletins/)
**Videos relacionados:**
+ [Prácticas recomendadas de seguridad a la forma Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP08 Evaluar e implementar nuevos servicios y características de seguridad de forma periódica
Evalúe e implemente servicios y características de seguridad de AWS y socios de AWS que le permitan desarrollar la postura de seguridad de su carga de trabajo. En el blog de seguridad de AWS se destacan nuevos servicios y características de AWS, guías de implementación y directrices de seguridad generales. [Novedades de AWS](https://aws.amazon.com/new) es una forma ideal de estar al día de las nuevas características, servicios y anuncios de AWS.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
+ Planifique revisiones periódicas: cree un calendario de actividades de revisión que incluya requisitos de cumplimiento, evaluación de nuevas características y servicios de seguridad de AWS y revisión de las noticias del sector.
+ Descubra servicios y características de AWS: descubra las características de seguridad disponibles para los servicios que está utilizando y las características nuevas que se vayan lanzando.
+ [ Blog de seguridad de AWS](https://aws.amazon.com/blogs/security/)
+ [ Boletines de seguridad de AWS](https://aws.amazon.com/security/security-bulletins/)
+ [Documentación de servicio de AWS](https://aws.amazon.com/documentation/)
+ Defina el proceso de incorporación de servicios de AWS: defina procesos para incorporar nuevos servicios de AWS. Incluya la forma en que evalúa los nuevos servicios de AWS en cuanto a su funcionalidad, así como los requisitos de conformidad de su carga de trabajo.
+ Pruebe nuevos servicios y características: pruebe nuevos servicios y características a medida que se publiquen en un entorno que no sea de producción y que replique de forma fidedigna uno de producción.
+ Implemente otros mecanismos de defensa: ponga en marcha mecanismos automatizados para defender su carga de trabajo, explore las opciones disponibles.
+ [Corrección de recursos de AWS disconformes con Reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
## Recursos
**Videos relacionados:**
+ [Prácticas recomendadas de seguridad a la forma Well-Architected ](https://youtu.be/u6BCVkXkPnM)
# Identity and Access Management
**Topics**
+ [SEC 2 ¿Cómo administra la autenticación para personas y máquinas?](w2aac19b7b7b5.md)
+ [SEC 3 ¿Cómo administra la autenticación para personas y máquinas?](w2aac19b7b7b7.md)
# SEC 2 ¿Cómo administra la autenticación para personas y máquinas?
Hay dos tipos de identidades que debe administrar cuando tenga que utilizar cargas de trabajo de AWS seguras. Entender el tipo de identidad que necesita para administrar y otorgar acceso ayuda a que las identidades adecuadas tengan acceso a los recursos correctos bajo las condiciones adecuadas.
Identidades humanas: los administradores, desarrolladores, operadores y clientes finales requieren una identidad para acceder a sus aplicaciones y entornos de AWS. Estos son miembros de la organización o usuarios externos con los que colabora y que interactúan con sus recursos de AWS a través de un navegador web, una aplicación de cliente o herramientas de línea de comandos interactivas.
Identidades de máquinas: las aplicaciones de servicio, herramientas operativas y cargas de trabajo requieren una identidad para realizar solicitudes a los servicios de AWS, por ejemplo, para leer datos. Entre estas identidades se incluyen máquinas que se ejecutan en el entorno de AWS, como, por ejemplo, instancias Amazon EC2 o funciones de AWS Lambda. También puede administrar identidades de máquinas para terceros que necesiten acceso. Además, es posible que también tenga máquinas fuera de AWS que necesiten acceso al entorno de AWS.
**Topics**
+ [SEC02-BP01 Usar mecanismos de inicio de sesión sólidos](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Usar credenciales temporales](sec_identities_unique.md)
+ [SEC02-BP03 Almacenar y usar secretos de forma segura](sec_identities_secrets.md)
+ [SEC02-BP04 Recurrir a un proveedor de identidades centralizado](sec_identities_identity_provider.md)
+ [SEC02-BP05 Auditar y rotar las credenciales periódicamente](sec_identities_audit.md)
+ [SEC02-BP06 Aprovechar los grupos y atributos de usuarios](sec_identities_groups_attributes.md)
# SEC02-BP01 Usar mecanismos de inicio de sesión sólidos
Exija una longitud mínima para las contraseñas y eduque a sus usuarios para que eviten las contraseñas comunes o reutilizadas. Aplique la autenticación multifactor (MFA) con mecanismos de software o hardware para proporcionar una capa de verificación adicional. Por ejemplo, al usar IAM Identity Center como origen de sus identidades, configure el ajuste “consciente del contexto” o “siempre activado” para la MFA, y permita a los usuarios que utilicen sus propios dispositivos para la MFA y, así, acelerar la adopción. Al utilizar un proveedor de identidades (IdP) externo, configure su IdP para la MFA.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Cree una política de identificación y administración de accesos (IAM) para exigir el inicio de sesión con MFA: cree una política de IAM administrada por el cliente que prohíba todas las acciones de IAM, excepto las que permitan a un usuario asumir roles, cambiar sus credenciales y gestionar sus dispositivos de MFA en la [página Mis credenciales de seguridad](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1).
+ Active la MFA en su proveedor de identidades: active la [MFA](https:/aws.amazon.com/iam/details/mfa) en el proveedor de identidades o el servicio de inicio de sesión único, como [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html), que vaya a utilizar.
+ Configure una política de contraseña segura: configure una [política de contraseñas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) segura en IAM y en los sistemas de identidad federada para protegerse contra ataques de fuerza bruta.
+ [Rotar las credenciales con frecuencia](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials): asegúrese de que los administradores de su carga de trabajo cambien sus contraseñas y claves de acceso (si las usan) con frecuencia.
## Recursos
**Documentos relacionados:**
+ [Introducción a AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Proveedores de identidades y federación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Usuario raíz de una cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected)
+ [Introducción a AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected)
+ [Credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected)
+ [Soluciones de socios de seguridad: acceso y control de acceso](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Usuario raíz de una cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Videos relacionados:**
+ [Prácticas recomendadas para administrar, recuperar y rotar secretos a escala](https://youtu.be/qoxxRlwJKZ4)
+ [Administración de permisos de usuarios a escala con IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Dominar la identidad en cada piso de la tarta](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP02 Usar credenciales temporales
Exija identidades para adquirir dinámicamente [credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html). Para las identidades de la fuerza de trabajo, utilice AWS IAM Identity Center o la federación con roles de AWS Identity and Access Management (IAM) para acceder a Cuentas de AWS. Para las identidades de máquinas, como las instancias de Amazon Elastic Compute Cloud (Amazon EC2) o las funciones AWS Lambda, se requiere el uso de roles de IAM en lugar del de usuarios de IAM con claves de acceso a largo plazo.
Para las identidades humanas que utilicen la Consola de administración de AWS, se requiere que los usuarios adquieran credenciales temporales y se federen en AWS. Puede hacer esto utilizando el portal de usuarios de AWS IAM Identity Center. Para usuarios que requieran acceso a la CLI, asegúrese de que usen la [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/), que es compatible con la integración directa con IAM Identity Center. Los usuarios pueden crear perfiles de la CLI vinculados con cuentas y roles de IAM Identity Center. La CLI recupera automáticamente credenciales de AWS de IAM Identity Center y las actualiza en su nombre. Esto elimina la necesidad de copiar y pegar credenciales temporales de AWS desde la consola de IAM Identity Center. Para el SDK, los usuarios deben confiar en que AWS Security Token Service (AWS STS) asuma roles para recibir credenciales temporales. En determinados casos, las credenciales temporales podrían no resultar prácticas. Debe ser consciente de los riesgos de almacenar claves de acceso, rotarlas con frecuencia y exigir la autenticación multifactor (MFA) como condición siempre que sea posible. Use la información a la que se haya accedido por última vez para determinar cuándo rotar o eliminar claves de acceso.
En los casos en los que necesite conceder a los consumidores acceso a sus recursos de AWS, utilice grupos de identidades de [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) y asígneles un conjunto de credenciales temporales con privilegios limitados para acceder a sus recursos de AWS. Los permisos para cada usuario se controlan mediante [roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que cree. Puede definir reglas para elegir el rol para cada usuario en función de las reclamaciones del token de ID del usuario. Puede definir un rol predeterminado para los usuarios autenticados. También puede definir un rol de IAM separado con permisos limitados para los usuarios invitados que no se hayan autenticado.
Para las identidades de máquinas, debe recurrir a los roles de IAM para que concedan acceso a AWS. Para las instancias de Amazon Elastic Compute Cloud (Amazon EC2), puede usar [roles para Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Puede asociar un rol de IAM a su instancia Amazon EC2 para permitir que las aplicaciones que se ejecuten en Amazon EC2 usen credenciales de seguridad temporales que AWS crea, distribuye y rota automáticamente mediante el servicio de metadatos de instancias (IMDS). La [última versión](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) de IMDS ayuda a proteger contra vulnerabilidades que exponen las credenciales temporales y deben implementarse. Para acceder a instancias Amazon EC2 con claves o contraseñas, [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) es una forma más segura de acceder a sus instancias y administrarlas con un agente preinstalado sin el secreto almacenado. De forma adicional, otros servicios de AWS, como AWS Lambda, le permiten configurar un rol de servicio de IAM para conceder los permisos de servicio para llevar a cabo acciones de AWS con credenciales temporales. En situaciones en las que no pueda usar credenciales temporales, use herramientas programáticas, como [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/), para automatizar la rotación y administración de credenciales.
**Audite y rote las credenciales de forma periódica: **la validación periódica, preferiblemente mediante una herramienta automatizada, es necesaria para verificar que se apliquen los controles correctos. En el caso de las identidades humanas, debería exigir a los usuarios que cambien sus contraseñas periódicamente y retirar las claves de acceso para sustituirlas por credenciales temporales. Al pasar de los usuarios de IAM a las identidades centralizadas, puede [generar un informe de credenciales ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)para auditar a sus usuarios de IAM. También recomendamos la aplicación de la configuración de MFA en su proveedor de identidades. Puede configurar [Reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) para supervisar estos ajustes. Para las identidades de máquinas, debería recurrir a credenciales temporales con roles de IAM. En las situaciones en las que esto no sea posible, resulta necesario auditar y rotar con frecuencia las claves de acceso.
**Almacene y use los secretos de forma segura:** para las credenciales que no estén relacionadas con IAM y en las que no se puedan usar credenciales temporales, como para iniciar sesión en bases de datos, use un servicio que se haya diseñado para afrontar la gestión de secretos, como [Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager facilita la administración, rotación y almacenamiento seguro de secretos cifrados con [servicios admitidos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Las llamadas para acceder a los secretos se registran en AWS CloudTrail con fines de auditoría, y los permisos de IAM pueden concederles un acceso con el mínimo nivel de privilegios.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Implemente políticas de privilegio mínimo: asigne políticas de acceso con privilegio mínimo a grupos y roles de IAM para reflejar el rol o la función del usuario que haya definido.
+ [Conceder privilegios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ Elimine los permisos innecesarios: implemente privilegios mínimos eliminando los permisos que no sean necesarios.
+ [Reducción del alcance de las políticas con datos de la actividad de los usuarios](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [Ver accesos del rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites)
+ Plantéese los límites de permisos: un límite de permisos es una función avanzada para usar una política administrada que establece los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. El límite de permisos de una identidad le permite llevar a cabo únicamente las acciones autorizadas tanto por sus políticas basadas en la identidad como por sus límites de permisos.
+ [Laboratorio: Límites de permisos de IAM para delegar la creación de roles](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
+ Plantéese las etiquetas de recursos para los permisos: puede usar etiquetas para controlar el acceso a aquellos recursos de AWS compatibles con el uso de etiquetas. También puede etiquetar usuarios y roles de IAM para controlar a qué pueden acceder.
+ [Laboratorio: Control de acceso basado en etiquetas de IAM para EC2](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
+ [Control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
## Recursos
**Documentos relacionados:**
+ [Introducción a AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Proveedores de identidades y federación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Soluciones de socios de seguridad: acceso y control de acceso](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Usuario raíz de una cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Videos relacionados:**
+ [Prácticas recomendadas para administrar, recuperar y rotar secretos a escala](https://youtu.be/qoxxRlwJKZ4)
+ [Administración de permisos de usuarios a escala con AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Dominar la identidad en cada piso de la tarta](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP03 Almacenar y usar secretos de forma segura
Para las identidades de la fuerza de trabajo y las máquinas que requieren secretos, como las contraseñas para aplicaciones de terceros, debe almacenarlas con rotación automática utilizando los estándares sectoriales más recientes en un servicio especializado, como para las credenciales no relacionadas con IAM y que no pueden hacer uso de las credenciales temporales (por ejemplo, los inicios de sesión en base de datos), use un servicio diseñado para administrar secretos, como AWS Secrets Manager. Secrets Manager facilita la administración, rotación y almacenamiento seguro de secretos cifrados con servicios admitidos. Las llamadas para acceder a los secretos se registran en AWS CloudTrail con fines de auditoría, y los permisos de IAM pueden concederles un acceso con el mínimo nivel de privilegios.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Use AWS Secrets Manager: [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) es un servicio de AWS que facilita la administración de secretos. Los secretos pueden ser credenciales de bases de datos, contraseñas, claves de API de terceros e, incluso, texto arbitrario.
## Recursos
**Documentos relacionados:**
+ [Introducción a AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Proveedores de identidades y federación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
**Videos relacionados:**
+ [Prácticas recomendadas para administrar, recuperar y rotar secretos a escala](https://youtu.be/qoxxRlwJKZ4)
# SEC02-BP04 Recurrir a un proveedor de identidades centralizado
Para las identidades del personal, recurra a un proveedor de identidades que le permita administrar las identidades en un lugar centralizado. Esto facilita la administración del acceso a varias aplicaciones y servicios, ya que crea, administra y revoca el acceso desde una única ubicación. Por ejemplo, si alguien se va de su organización, puede revocarle el acceso a todas las aplicaciones y servicios (incluido AWS) desde una ubicación. Esto reduce la necesidad de tener múltiples credenciales y proporciona una oportunidad para integrarse con los procesos de recursos humanos (RR. HH.) existentes.
Para la federación con cuentas de AWS individuales, puede usar identidades centralizadas para AWS con un proveedor basado en SAML 2.0 con AWS Identity and Access Management. Puede utilizar cualquier proveedor, ya sea alojado por usted en AWS, externo a AWS o suministrado por la AWS Partner, que sea compatible con el protocolo [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) . Puede usar la federación entre su cuenta de AWS y un proveedor de su elección para conceder a un usuario o una aplicación acceso a las operaciones de llamada a la API de AWS utilizando una aserción SAML para obtener credenciales de seguridad temporales. El inicio de sesión único basado en web también es compatible y permite a los usuarios iniciar sesión en la Consola de administración de AWS desde el sitio web de inicio de sesión.
Para la federación en múltiples cuentas en su AWS Organizations, puede configurar su origen de identidad en [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/), y especificar dónde se almacenan sus usuarios y grupos. Una vez configurado, su proveedor de identidades es su fuente de verdad, y la información se puede [sincronizar](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) utilizando el protocolo del sistema para administración de identidades entre dominios (SCIM) v2.0. A continuación puede buscar usuarios o grupos y concederles acceso IAM Identity Center a las cuentas de AWS, aplicaciones en la nube o ambas.
IAM Identity Center se integra con AWS Organizations, lo que le permite configurar su proveedor de identidades una vez y después [conceder acceso a las cuentas nuevas y existentes](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) que se administran en su organización. IAM Identity Center le proporciona un almacén predeterminado que puede utilizar para administrar sus usuarios y grupos. Si decide usar el almacén de IAM Identity Center, cree sus usuarios y grupos y asígneles su nivel de acceso a sus cuentas y aplicaciones de AWS, teniendo siempre en mente la práctica recomendada de conceder un privilegio mínimo. Como alternativa, puede decidir [conectarse a su proveedor de identidades externo ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)con SAML 2.0, o [conectarse a su directorio de Microsoft AD](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) con AWS Directory Service. Tras la configuración, puede iniciar sesión en la Consola de administración de AWS o la aplicación móvil de AWS autenticándose en su proveedor de identidades central.
Para administrar a los usuarios finales o consumidores de sus cargas de trabajo, como una aplicación móvil, puede usar [Amazon Cognito](http://aws.amazon.com/cognito/). Proporciona autenticación, autorización y administración de usuarios para sus aplicaciones móviles y web. Sus usuarios pueden iniciar sesión directamente con un nombre de usuario y una contraseña, o a través de un tercero, como Amazon, Apple, Facebook o Google.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Centralice el acceso administrativo: cree una entidad proveedora de identidades en Identity and Access Management (IAM) para establecer una relación de confianza entre su Cuenta de AWS y su proveedor de identidades (IdP). IAM admite IdP compatibles con OpenID Connect (OIDC) o SAML 2.0 (Lenguaje de Marcado para Confirmaciones de Seguridad 2.0).
+ [Proveedores de identidades y federación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ Centralice el acceso a aplicaciones: plantéese usar Amazon Cognito para centralizar el acceso a aplicaciones. Le permite incorporar control de acceso e inscripción e inicio de sesión de usuarios a su sitio web y aplicaciones para dispositivos móviles de manera rápida y sencilla. [Amazon Cognito](https://aws.amazon.com/cognito/) se amplía a millones de usuarios y admite el inicio de sesión con proveedores de identidades sociales, como Facebook, Google y Amazon, y proveedores de identidades empresariales a través de SAML 2.0.
+ Elimine a los antiguos usuarios y grupos de IAM: tras empezar a utilizar un proveedor de identidades (IdP), elimine usuarios y grupos de IAM que ya no sean necesarios.
+ [Búsqueda de credenciales no utilizadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)
+ [Eliminación de un grupo de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html)
## Recursos
**Documentos relacionados:**
+ [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Soluciones de socios de seguridad: acceso y control de acceso](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Usuario raíz de una cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Vídeos relacionados:**
+ [Prácticas recomendadas para administrar, recuperar y rotar secretos a escala](https://youtu.be/qoxxRlwJKZ4)
+ [Administración de permisos de usuarios a escala con AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Dominar la identidad en cada piso del pastel](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP05 Auditar y rotar las credenciales periódicamente
Cuando no pueda confiar en las credenciales temporales y necesite credenciales a largo plazo, audítelas para asegurarse de que los controles definidos, por ejemplo, la autenticación multifactor (MFA), se aplican, se rotan periódicamente y tienen el nivel de acceso adecuado. La validación periódica, preferiblemente mediante una herramienta automatizada, es necesaria para verificar que se apliquen los controles correctos. En el caso de las identidades humanas, debería exigir a los usuarios que cambien sus contraseñas periódicamente y retirar las claves de acceso para sustituirlas por credenciales temporales. Al pasar de los usuarios de AWS Identity and Access Management (IAM) a las identidades centralizadas, puede [generar un informe de credenciales ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)para auditar a sus usuarios de IAM. También recomendamos la aplicación de la configuración de MFA en su proveedor de identidades. Puede configurar [Reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) para supervisar estas opciones. Para las identidades de máquinas, debería recurrir a credenciales temporales con roles de IAM. En las situaciones en las que esto no sea posible, resulta necesario auditar y rotar con frecuencia las claves de acceso.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana
## Guía para la implementación
+ Audite periódicamente las credenciales: utilice los informes de credenciales y el Analizador de acceso de Identify and Access Management (IAM) para auditar las credenciales y los permisos de IAM.
+ [Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Obtener informes de credenciales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
+ [Lab: Limpieza de usuarios de IAM automática](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool)
+ Utilice los niveles de acceso para revisar los permisos de IAM: para mejorar la seguridad de su Cuenta de AWS, revise y supervise periódicamente cada una de sus políticas de IAM. Asegúrese de que sus políticas conceden el privilegio mínimo necesario para realizar solo las acciones necesarias.
+ [Utilizar los niveles de acceso para revisar los permisos de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions)
+ Considere la posibilidad de automatizar la creación y las actualizaciones de los recursos de IAM: AWS CloudFormation se puede utilizar para automatizar el despliegue de los recursos de IAM, como los roles y las políticas, a fin de reducir los errores humanos, ya que las plantillas pueden verificarse y controlarse las versiones.
+ [Laboratorio: Despliegue automatizado de grupos y roles de IAM](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html)
## Recursos
**Documentos relacionados:**
+ [Primeros pasos con AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Proveedores y federación de identidades](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Soluciones de socios de seguridad: acceso y control de acceso](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
**Vídeos relacionados:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Prácticas recomendadas para administrar, recuperar y rotar secretos a escala)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with AWS IAM Identity Center (Administración de permisos de usuarios a escala con AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake (Dominar la identidad en cada piso del pastel)](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP06 Aprovechar los grupos y atributos de usuarios
A medida que crezca el número de usuarios que administra, tendrá que determinar formas de organizarlos para que pueda administrarlos a escala. Coloque a usuarios con requisitos de seguridad comunes en grupos definidos por su proveedor de identidades, y prepare mecanismos para garantizar que los atributos de usuarios que puedan usarse para controlar el acceso (por ejemplo, los de departamento o ubicación) sean correctos y estén actualizados. Use estos grupos y atributos para controlar el acceso, en lugar de usuarios individuales. Esto le permitirá administrar el acceso de forma centralizada cambiando la pertenencia a un grupo de un usuario o sus atributos una vez con un [conjunto de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html), en lugar de actualizar muchas políticas individuales cuando el acceso de un usuario tenga que cambiarse. Puede usar AWS IAM Identity Center (IAM Identity Center) para administrar grupos y atributos de usuarios. IAM Identity Center admite los atributos de usuarios utilizados más habitualmente, ya sea mediante introducción manual durante la creación del usuario o mediante un aprovisionamiento automático con un motor de sincronización, como lo que se define en el estándar Sistema para administración de identidades entre dominios (SCIM).
Coloque a usuarios con requisitos de seguridad comunes en grupos definidos por su proveedor de identidades, y prepare mecanismos para garantizar que los atributos de usuarios que puedan usarse para controlar el acceso (por ejemplo, los de departamento o ubicación) sean correctos y estén actualizados. Use estos grupos y atributos en lugar de usuarios individuales para controlar el acceso. Esto le permite administrar el acceso de forma centralizada cambiando la pertenencia a un grupo de un usuario o sus atributos una vez, en lugar de tener que actualizar muchas políticas individuales cuando el acceso de un usuario necesita cambiarse.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
+ Si utiliza AWS IAM Identity Center (IAM Identity Center), configure grupos: IAM Identity Center le proporciona la capacidad de configurar grupos de usuarios y asignar a los grupos el nivel deseado de permisos.
+ [Inicio de sesión único de AWS: administración de identidades](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ Descubra el control de acceso basado en atributos (ABAC): ABAC es una estrategia de autorización que define permisos basados en atributos.
+ [¿Qué es ABAC para AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Laboratorio: Control de acceso basado en etiquetas de IAM para EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
## Recursos
**Documentos relacionados:**
+ [Introducción a AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Proveedores de identidades y federación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Usuario raíz de una cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Videos relacionados:**
+ [Prácticas recomendadas para administrar, recuperar y rotar secretos a escala](https://youtu.be/qoxxRlwJKZ4)
+ [Administración de permisos de usuarios a escala con AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Dominar la identidad en cada piso de la tarta](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**Ejemplos relacionados:**
+ [Laboratorio: Control de acceso basado en etiquetas de IAM para EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
# SEC 3 ¿Cómo administra la autenticación para personas y máquinas?
Administre permisos para controlar el acceso a identidades de personas y de máquinas que requieran acceso a AWS y sus cargas de trabajo. Los permisos controlan quién puede acceder a qué y en qué condiciones.
**Topics**
+ [SEC03-BP01 Definir los requisitos de acceso](sec_permissions_define.md)
+ [SEC03-BP02 Conceder acceso con privilegios mínimos](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Establecer un proceso de acceso de emergencia](sec_permissions_emergency_process.md)
+ [SEC03-BP04 Reducir continuamente los permisos](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 Definir las barreras de protección de los permisos para su organización](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Administrar el acceso en función del ciclo de vida](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Analizar el acceso público y entre cuentas](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 Compartir recursos de forma segura](sec_permissions_share_securely.md)
# SEC03-BP01 Definir los requisitos de acceso
A cada componente o recurso de su carga de trabajo deben acceder administradores, usuarios finales u otros componentes. Tenga una definición clara de quién o qué debe tener acceso a cada componente, elija el tipo de identidad y el método de autenticación y autorización adecuados.
**Patrones comunes de uso no recomendados:**
+ Codificación rígida o almacenamiento de secretos en la aplicación.
+ Concesión de permisos personalizados para cada usuario.
+ Uso de credenciales de larga duración.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
A cada componente o recurso de su carga de trabajo deben acceder administradores, usuarios finales u otros componentes. Tenga una definición clara de quién o qué debe tener acceso a cada componente, elija el tipo de identidad y el método de autenticación y autorización adecuados.
El acceso normal a las Cuentas de AWS en la organización debe proporcionarse mediante [acceso federado](https://aws.amazon.com/identity/federation/) o un proveedor de identidades centralizado. También debe centralizar su administración de identidades y asegurarse de que existe una práctica establecida para integrar el acceso de AWS al ciclo de vida de los empleados. Por ejemplo, cuando un empleado cambia a un cargo con un nivel de acceso distinto, su pertenencia al grupo también debe cambiar para reflejar sus nuevos requisitos de acceso.
Al definir los requisitos de acceso para las identidades que no son humanas, determine qué aplicaciones y componentes necesitan acceso y cómo se conceden los permisos. El enfoque recomendado es utilizar roles de IAM creados con el modelo de acceso de privilegio mínimo. [Las políticas administradas de AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) proporcionan políticas de IAM predefinidas que cubren los casos de uso más comunes.
Los servicios de AWS, como [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) y [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html), pueden servir para desacoplar los secretos de la aplicación o de la carga de trabajo de forma segura en los casos en los que no es factible utilizar roles de IAM. En Secrets Manager, puede establecer una rotación automática de sus credenciales. Puede utilizar Systems Manager para hacer referencia a los parámetros en sus scripts, comandos, documentos SSM, configuración y flujos de trabajo de automatización con el nombre único que especificó al crear el parámetro.
Puede usar Funciones de AWS Identity and Access Management en cualquier lugar para obtener [credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) para las cargas de trabajo que se ejecutan fuera de AWS. Sus cargas de trabajo puede usar las mismas [políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) y [roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que utiliza con las aplicaciones de AWS para acceder a los recursos de AWS.
Siempre que sea posible, se deben preferir las credenciales temporales a corto plazo en lugar de las credenciales estáticas a largo plazo. En las situaciones en las que necesite usuarios de IAM con acceso programático y credenciales a largo plazo, utilice [información de la clave de acceso utilizada por última vez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) para rotar y retirar las claves de acceso.
## Recursos
**Documentos relacionados:**
+ [Control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [Funciones de IAM en cualquier lugar](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [Políticas administradas de AWS para IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [Condiciones de las políticas de AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Casos de uso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [Elimine credenciales innecesarias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Administración de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [How to control access to AWS resources based on Cuenta de AWS, OU, or organization (Cómo controlar el acceso a los recursos de AWS en función de la Cuenta de AWS, la unidad organizativa o la organización)](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [Identify, arrange, and manage secrets easily using enhanced search in AWS Secrets Manager (Identificar, organizar y administrar fácilmente los secretos mediante la búsqueda mejorada en AWS Secrets Manager)](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**Vídeos relacionados:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Consiga dominar las políticas de IAM en 60 minutos o menos)](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD (Separación de deberes, privilegio mínimo, delegación y CI/CD)](https://youtu.be/3H0i7VyTu70)
+ [Streamlining identity and access management for innovation (Optimizar la administración de identidades y accesos para la innovación)](https://www.youtube.com/watch?v=3qK0b1UkaE8)
# SEC03-BP02 Conceder acceso con privilegios mínimos
Conceda exclusivamente el acceso que las identidades necesitan mediante la restricción de los permisos a acciones concretas en recursos de AWS específicos en determinadas condiciones. Utilice grupos y atributos de identidad para configurar dinámicamente los permisos en función de las necesidades en lugar de configurarlos para cada usuario. Por ejemplo, puede conceder acceso a un grupo de desarrolladores para que solamente puedan administrar recursos de su proyecto. De este modo, si un desarrollador abandona el grupo, su acceso para acceder a cualquier lugar al que el grupo pudiera acceder quedará revocado sin necesidad de realizar ningún cambio en las políticas de acceso.
**Patrones comunes de uso no recomendados:**
+ Concesión predeterminada de permisos de administrador a los usuarios.
+ Uso de la cuenta raíz para las actividades cotidianas.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
El establecimiento de un principio de [privilegio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) garantiza que a las identidades solo se les permita realizar el conjunto de funciones mínimo necesario para llevar a cabo una tarea específica, a la vez que mantiene un equilibrio entre usabilidad y eficacia. Al operar según este principio, se limita el acceso involuntario y se garantiza que se pueda auditar quién tiene acceso a determinados recursos. En AWS, las identidades no tienen permisos de forma predeterminada excepto el usuario raíz. Las credenciales del usuario raíz deben estar muy controladas y solo se deben utilizar para unas pocas [tareas específicas](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html).
Las políticas se utilizan para conceder explícitamente permisos adjuntos a IAM o a entidades de recursos, como un rol de IAM que utilizan las identidades o máquinas federadas, o recursos (por ejemplo, buckets de S3). Al crear y adjuntar una política, puede especificar las acciones de servicio, los recursos y las condiciones que se deben cumplir para que AWS permita el acceso. AWS es compatible con una amplia variedad de condiciones que le ayudarán a acotar el acceso. Por ejemplo, si usa la clave de condición `PrincipalOrgID` [,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)el identificador de AWS Organizations se verifica de modo que se pueda conceder el acceso en su organización de AWS.
También puede controlar las solicitudes que realicen los servicios de AWS en su nombre, como que AWS CloudFormation cree una función de AWS Lambda, mediante la clave de condición `CalledVia` . Debe estratificar los diferentes tipos de políticas para limitar de forma eficaz los permisos generales en una cuenta. Por ejemplo, puede permitir a sus equipos de aplicaciones crear sus propias políticas de IAM, pero utilizar un [límite de permisos](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) para restringir el máximo de permisos que pueden conceder.
Existen varias capacidades de AWS que le ayudan a escalar la administración de permisos y a cumplir el principio de privilegio mínimo. [El control de acceso basado en atributos](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) le permite limitar los permisos en función de la *[etiqueta](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* de un recurso, para tomar decisiones de autorización basadas en las etiquetas aplicadas al recurso y a la entidad principal de IAM de llamada. De este modo, podrá combinar su política de etiquetado y de permisos para conseguir un acceso detallado a los recursos sin necesidad de muchas políticas personalizadas.
Otra forma de acelerar la creación de una política de privilegio mínimo, consiste en basar su política de CloudTrail en los permisos tras la ejecución de una actividad. [IAM Access Analyzer puede generar automáticamente una política de IAM basada en la actividad](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). También puede utilizar IAM Access Advisor en una organización o una cuenta individual para [hacer un seguimiento de la información a la que se ha accedido por última vez para una política concreta](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html).
Establezca una cadencia de revisión de estos detalles y elimine los permisos innecesarios. Debe establecer barreras de protección de permisos en su organización de AWS para controlar los permisos máximos en cualquier cuenta de miembro. Los servicios como [AWS Control Tower tienen controles preventivos prescriptivos administrados](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) y le permiten definir sus propios controles.
## Recursos
**Documentos relacionados:**
+ [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Techniques for writing least privilege IAM policies (Técnicas para elaborar políticas de IAM de privilegio mínimo)](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity (IAM Access Analyzer facilita la implementación de los permisos de privilegio mínimo al generar políticas de IAM basadas en la actividad de acceso)](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [Refining Permissions using last accessed information (Mejora de los permisos con la información del último acceso)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [IAM policy types and when to use them (Tipos de políticas de IAM y cuándo utilizarlas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [Testing IAM policies with the IAM policy simulator (Prueba de las políticas de IAM con el simulador de políticas de IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [Guardrails in AWS Control Tower (Barreras de protección en AWS Control Tower)](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [Zero Trust architectures: An AWS perspective (Arquitecturas de confianza cero: una perspectiva de AWS)](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [How to implement the principle of least privilege with CloudFormation StackSets (Cómo implementar el principio de privilegio mínimo con CloudFormation StackSets)](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
**Vídeos relacionados:**
+ [Next-generation permissions management (Administración de permisos de nueva generación)](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [Zero Trust: An AWS perspective (Confianza cero: una perspectiva de AWS)](https://www.youtube.com/watch?v=1p5G1-4s1r0)
+ [How can I use permissions boundaries to limit IAM users and roles to prevent privilege escalation? (¿Cómo puedo utilizar los límites de los permisos para restringir a los usuarios y los roles de IAM para evitar la escalada de privilegios?)](https://www.youtube.com/watch?v=omwq3r7poek)
**Ejemplos relacionados:**
+ [Laboratorio: Límites de permisos de IAM para delegar la creación de roles](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
# SEC03-BP03 Establecer un proceso de acceso de emergencia
Un proceso que permita el acceso de emergencia a su carga de trabajo en el improbable caso de que se produzca un error en un proceso automatizado o una canalización. Esto le ayudará a recurrir al acceso de privilegio mínimo, pero a la vez garantiza que los usuarios puedan obtener el nivel de acceso correcto cuando lo necesiten. Por ejemplo, establezca un proceso para que los administradores verifiquen y aprueben su solicitud, como un rol entre cuentas de AWS para el acceso o un proceso específico que puedan seguir los administradores para validar y aprobar una solicitud de emergencia.
**Patrones comunes de uso no recomendados:**
+ No contar con un proceso de emergencia para recuperarse de una interrupción con su configuración de identidad existente
+ Conceder permisos de alto nivel a largo plazo con fines de solución de problemas o de recuperación
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Medio
## Guía para la implementación
El establecimiento de un acceso de emergencia puede adoptar varias formas para las que debe estar preparado. La primera es un error de su proveedor de identidad principal. En este caso, deberá confiar en un segundo método de acceso con los permisos necesarios para la recuperación. Este método podría ser un proveedor de identidad de reserva o un usuario de IAM. Este segundo método se debe [controlar, supervisar y notificar de forma estricta](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) en caso de que se utilice. La identidad de acceso de emergencia debe proceder de una cuenta específica para este fin y tener solo permisos para asumir un rol específicamente diseñado para la recuperación.
También debe estar preparado para un acceso de emergencia en el que se necesite un acceso administrativo de alto nivel temporal. Una situación habitual es limitar los permisos de mutación a un proceso automatizado utilizado para desplegar los cambios. Si este proceso tiene algún problema, es posible que los usuarios deban solicitar permisos de alto nivel para restablecer la funcionalidad. En este caso, establezca un proceso en el que los usuarios puedan solicitar un acceso de alto nivel y los administradores puedan validarlo y aprobarlo. Los planes de implementación que detallan la guía de prácticas recomendadas para aprovisionar previamente el acceso y configurar los roles de emergencia e *inmediatos*, se proporcionan como parte de [SEC10-BP05: Aprovisionamiento previo del acceso](sec_incident_response_pre_provision_access.md).
## Recursos
**Documentos relacionados:**
+ [Monitor and Notify on AWS (Supervisar y notificar sobre AWS)](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity)
+ [Managing temporary elevated access (Administrar el acceso de alto nivel temporal)](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
**Vídeo relacionado:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Consiga dominar las políticas de IAM en 60 minutos o menos)](https://youtu.be/YQsK4MtsELU)
# SEC03-BP04 Reducir continuamente los permisos
A medida que los equipos y las cargas de trabajo determinen qué acceso necesitan, elimine los permisos que ya no utilicen y establezca procesos de revisión para conseguir permisos con privilegios mínimos. Supervise y reduzca continuamente las identidades y permisos no utilizados.
A veces, cuando los equipos y proyectos están empezando, puede que decida conceder un acceso amplio (en un entorno de desarrollo o pruebas) para estimular la innovación y la agilidad. Recomendamos que evalúe el acceso continuamente y que, especialmente en un entorno de producción, restrinja el acceso solamente a los permisos necesarios y que aplique privilegios mínimos. AWS ofrece capacidades de análisis del acceso para ayudarle a identificar los accesos no utilizados. Para ayudarle a identificar los usuarios, roles, permisos y credenciales no utilizados, AWS analiza la actividad de acceso y ofrece información sobre el último uso de las claves de acceso y los roles. Puede usar la [marca de tiempo de último acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) to [identificar usuarios y roles no utilizados](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/)y eliminarlos. Además, puede revisar la información de último acceso en servicios y acciones para identificar y [limitar los permisos para usuarios y roles específicos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Por ejemplo, puede utilizar la información sobre el último acceso para identificar las acciones específicas de Amazon Simple Storage Service (Amazon S3) necesarias para el rol de su aplicación y restringir el acceso únicamente a dichas acciones. Estas características están disponibles en la Consola de administración de AWS y de manera programática para permitirle incorporarlas en sus flujos de trabajo de infraestructura y sus herramientas automatizadas.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana
## Guía para la implementación
+ Configure AWS Identify and Access Management (IAM) Access Analyzer: AWS IAM Access Analyzer le ayuda a identificar los recursos y cuentas de su organización, como los buckets de Amazon Simple Storage Service (Amazon S3) o los roles de IAM, que se comparten con una entidad externa.
+ [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
## Recursos
**Documentos relacionados:**
+ [Control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Conceder privilegios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [Elimine credenciales innecesarias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Administración de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Vídeos relacionados:**
+ [Consiga dominar las políticas de IAM en 60 minutos o menos](https://youtu.be/YQsK4MtsELU)
+ [Separación de deberes, privilegio mínimo, delegación y CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP05 Definir las barreras de protección de los permisos para su organización
Establezca controles comunes que restrinjan el acceso a todas las identidades de su organización. Por ejemplo, puede restringir el acceso a determinadas Regiones de AWS o impedir que sus operadores eliminen recursos comunes, como un rol de IAM que usa su equipo de seguridad central.
**Patrones comunes de uso no recomendados:**
+ Ejecutar cargas de trabajo en su cuenta de administrador de la organización.
+ Ejecutar cargas de trabajo de producción y de no producción en la misma cuenta.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Medio
## Guía para la implementación
A medida que crezca y administre cargas de trabajo adicionales en AWS, deberá separarlas mediante cuentas y administrar dichas cuentas con AWS Organizations. Le recomendamos que establezca barreras de protección de permisos comunes que restrinjan el acceso a todas las identidades de su organización. Por ejemplo, puede restringir el acceso a determinadas Regiones de AWS o impedir que su equipo elimine recursos comunes, como un rol de IAM que usa su equipo de seguridad central.
Puede empezar con la implementación de ejemplos de políticas de control de servicios, como impedir que los usuarios desactiven servicios clave. Las SCP utilizan el lenguaje de las políticas de IAM y le permiten establecer controles a los que se adhieren todas las entidades principales de IAM (usuarios y roles). Puede restringir el acceso a determinadas acciones de servicio, recursos y según una condición específica para satisfacer las necesidades de control de acceso de su organización. Si es necesario, puede definir excepciones a sus barreras de protección. Por ejemplo, puede restringir las acciones de servicio para todas las entidades de IAM de la cuenta excepto para un rol de administrador específico.
Le recomendamos que evite ejecutar cargas de trabajo en su cuenta de administración. Esta cuenta debe utilizarse para controlar y desplegar las barreras de protección que afectarán a las cuentas de los miembros. Algunos servicios de AWS admiten el uso de una cuenta de administrador delegada. Cuando esté disponible, deberá utilizar esta cuenta delegada en lugar de la cuenta de administración. Debe limitar firmemente el acceso a la cuenta de administrador de la organización.
El uso de una estrategia de varias cuentas le permite tener una mayor flexibilidad a la hora de aplicar las barreras de protección a sus cargas de trabajo. La Arquitectura de referencia de Seguridad de AWS ofrece recomendaciones sobre cómo diseñar la estructura de su cuenta. Los servicios de AWS como AWS Control Tower proporcionan capacidades para administrar de forma centralizada tanto los controles preventivos como los de detección en toda la organización. Defina un propósito claro para cada cuenta o unidad organizativa en su organización y limite los controles de acuerdo con dicho propósito.
## Recursos
**Documentos relacionados:**
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [Service control policies (SCPs) (Políticas de control de servicios [SCP])](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [Get more out of service control policies in a multi-account environment (Saque más partido a las políticas de control del servicio en un entorno de varias cuentas)](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/)
+ [Arquitectura de referencia de AWS (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
**Vídeos relacionados:**
+ [Enforce Preventive Guardrails using Service Control Policies (Aplicar las barreras de protección preventivas mediante políticas de control de servicios)](https://www.youtube.com/watch?v=mEO05mmbSms)
+ [Building governance at scale with AWS Control Tower (Consolidar la gobernanza a escala con AWS Control Tower)](https://www.youtube.com/watch?v=Zxrs6YXMidk)
+ [AWS Identity and Access Management deep dive (Profundización en AWS Identity and Access Management)](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP06 Administrar el acceso en función del ciclo de vida
Integre los controles de acceso con el ciclo de vida de la aplicación y el operador, el proveedor de federación centralizado. Por ejemplo, quite el acceso a un usuario cuando abandone la organización o cambie de rol.
A medida que vaya administrando las cargas de trabajo con cuentas independientes, habrá casos en los que necesite compartir recursos entre esas cuentas. Le recomendamos que comparta los recursos con [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/). Este servicio le permite compartir de forma sencilla y segura recursos de AWS en su AWS Organizations y las unidades organizativas. Con AWS RAM, el acceso a los recursos compartidos se concede o revoca automáticamente a medida que las cuentas entran y salen de la organización o unidad organizativa con la que se comparten. Esto ayuda a garantizar que los recursos se comparten solo con las cuentas que pretende.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
Ciclo de vida de acceso de los usuarios Implemente una política de ciclo de vida de acceso de los usuarios para la incorporación de nuevos usuarios, los cambios de puesto y la salida de usuarios, de modo que solo tengan acceso los usuarios actuales.
## Recursos
**Documentos relacionados:**
+ [Control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Conceder privilegios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Elimine credenciales innecesarias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Administración de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Vídeos relacionados:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Consiga dominar las políticas de IAM en 60 minutos o menos)](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD (Separación de deberes, privilegio mínimo, delegación y CI/CD)](https://youtu.be/3H0i7VyTu70)
# SEC03-BP07 Analizar el acceso público y entre cuentas
Supervise continuamente los resultados que ponen de relieve el acceso público y entre cuentas. Reduzca el acceso público y el acceso entre cuentas solo a los recursos que requieran este tipo de acceso.
**Patrones comunes de uso no recomendados:**
+ No seguir un proceso para controlar el acceso entre cuentas y el acceso público a los recursos
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
En AWS, puede conceder acceso a los recursos de otra cuenta. El acceso entre cuentas se concede directamente mediante políticas adjuntas a los recursos (por ejemplo, [políticas de buckets de Amazon Simple Storage Service [Amazon S3]](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)) o al permitir que una identidad asuma un rol de IAM en otra cuenta. Cuando utilice las políticas de recursos, verifique que se concede acceso a las identidades de su organización y que tiene la intención de hacer públicos los recursos. Defina un proceso para aprobar todos los recursos que deban estar disponibles públicamente.
[IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) usa [seguridad comprobable](https://aws.amazon.com/security/provable-security/) para identificar todas las rutas de acceso a un recurso desde fuera de su cuenta. Revisa continuamente las políticas de recursos e informa de los resultados del acceso público y entre cuentas para facilitarle el análisis de un acceso potencialmente amplio. Considere la posibilidad de configurar IAM Access Analyzer con AWS Organizations para verificar que tiene visibilidad en todas sus cuentas. IAM Access Analyzer también le permite [obtener una vista previa de los resultados del analizador de acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html), antes de desplegar los permisos de los recursos. Esto le permite validar que sus cambios de política conceden solo el acceso público y entre cuentas previsto a sus recursos. Cuando diseñe para el acceso de varias cuentas, puede utilizar [políticas de confianza para controlar en qué casos se puede asumir un rol](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). Por ejemplo, puede limitar la asunción de roles a un intervalo de IP de origen concreto.
También puede utilizar [AWS Config para informar y corregir los recursos](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) para cualquier configuración de acceso público accidental, mediante comprobaciones de políticas de AWS Config. Servicios como [AWS Control Tower](https://aws.amazon.com/controltower) y [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) simplifican el despliegue de controles y barreras de protección en AWS Organizations para identificar y corregir los recursos expuestos públicamente. Por ejemplo, AWS Control Tower tiene una barrera de protección administrada que puede detectar si alguna [instantánea de Amazon EBS la pueden restaurar todas las cuentas de AWS](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).
## Recursos
**Documentos relacionados:**
+ [Using AWS Identity and Access Management Access Analyzer (Uso de AWS Identity and Access Management Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [Guardrails in AWS Control Tower (Barreras de protección en AWS Control Tower)](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS Foundational Security Best Practices standard (Estándar de prácticas recomendadas de seguridad básicas de AWS)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+ [AWS Config Managed Rules (Reglas administradas de AWS Config)](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [AWS Trusted Advisor check reference (Referencia de verificación de AWS Trusted Advisor)](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)
**Vídeos relacionados:**
+ [Best Practices for securing your multi-account environment (Prácticas recomendadas para proteger su entorno de varias cuentas)](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Dive Deep into IAM Access Analyzer (Profundización en IAM Access Analyzer)](https://www.youtube.com/watch?v=i5apYXya2m0)
# SEC03-BP08 Compartir recursos de forma segura
Controle el consumo de los recursos compartidos entre cuentas o en su AWS Organizations. Supervise los recursos compartidos y revise el acceso a los recursos compartidos.
**Patrones comunes de uso no recomendados:**
+ Uso de la política de confianza de IAM predeterminada al conceder el acceso entre cuentas de terceros
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
Al administrar sus cargas de trabajo con varias cuentas de AWS, es posible que necesite compartir recursos entre ellas. Con mucha frecuencia, se trata de un uso compartido entre cuentas en AWS Organizations. Varios servicios de AWS como [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)y [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) tienen características entre cuentas integradas con Organizations. Puede usar [AWS Resource Access Manager](https://aws.amazon.com/ram/) para compartir otros recursos compartidos, como [subredes VPC o conexiones de puerta de enlace tránsito](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall)o [canalizaciones de Amazon SageMaker Runtime](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker). Si quiere asegurarse de que su cuenta solo comparte recursos en sus Organizations, le recomendamos que utilice [políticas de control de servicios (SCP)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) para impedir el acceso a entidades principales externas.
Cuando se comparten recursos, se deben establecer medidas de protección contra el acceso involuntario. Recomendamos combinar los controles basados en la identidad y los controles de red para [crear un perímetro de datos para su organización](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html). Estos controles deben poner límites estrictos a los recursos que se pueden compartir y evitar que se compartan o expongan recursos que no deberían permitirse. Por ejemplo, como parte de su perímetro de datos podría utilizar las políticas de punto de conexión de VPC y la condición `aws:PrincipalOrgId` para garantizar que las identidades que acceden a sus buckets de Amazon S3 pertenecen a su organización.
En algunos casos, conviene permitir que se compartan recursos fuera de sus Organizations o conceder a terceros el acceso a su cuenta. Por ejemplo, un socio puede proporcionar una solución de supervisión que necesita acceder a los recursos en su cuenta. En esos casos, deberá crear un rol entre cuentas de IAM con solo los privilegios que necesite el tercero. También debe elaborar una política de confianza con la [condición de ID externo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Cuando utilice un ID externo, deberá generar un ID único para cada tercero. El ID único no lo debe suministrar ni controlar el tercero. Si el tercero ya no necesita acceder a su entorno, debe eliminar el rol. También debe evitar siempre proporcionar credenciales de IAM de larga duración a un tercero. Tenga en cuenta otros servicios de AWS que admitan el uso compartido de forma nativa. Por ejemplo, AWS Well-Architected Tool permite [compartir una carga de trabajo](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) con otras cuentas de AWS.
Al utilizar un servicio como Amazon S3, se recomienda [desactivar las ACL del bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) y utilizar las políticas de IAM para definir el control de acceso. [Para restringir el acceso a un Amazon S3 origen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) de [Amazon CloudFront](https://aws.amazon.com/cloudfront/), migre de la identidad de acceso de origen (OAI) al control de acceso de origen (OAC), que admite características adicionales como el cifrado del servidor con [AWS KMS](https://aws.amazon.com/kms/).
## Recursos
**Documentos relacionados:**
+ [Bucket owner granting cross-account permission to objects it does not own (El propietario del bucket concede permisos entre varias cuentas a objetos que no son de su propiedad)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [How to use Trust Policies with IAM (Cómo utilizar las políticas de confianza con IAM)](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Building Data Perimeter on AWS (Creación de un perímetro de datos en AWS)](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [How to use an external ID when granting a third party access to your AWS resources (Cómo utilizar un ID externo al conceder a un tercero el acceso a sus recursos de AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
**Vídeos relacionados:**
+ [Granular Access with AWS Resource Access Manager (Acceso detallado con AWS Resource Access Manager)](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Securing your data perimeter with VPC endpoints (Protección del perímetro de datos con puntos de conexión de VPC)](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Establishing a data perimeter on AWS (Establecimiento de un perímetro de datos en AWS) ](https://www.youtube.com/watch?v=SMi5OBjp1fI)
# Detección
**Topics**
+ [SEC 4 ¿Cómo detecta e investiga los eventos de seguridad?](w2aac19b7b9b5.md)
# SEC 4 ¿Cómo detecta e investiga los eventos de seguridad?
Capte y analice eventos de registros y métricas para obtener visibilidad. Tome medidas sobre eventos de seguridad y posibles amenazas para ayudar a proteger su carga de trabajo.
**Topics**
+ [SEC04-BP01 Configurar el registro de servicios y aplicaciones](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 Análisis centralizados de registros, hallazgos y métricas](sec_detect_investigate_events_analyze_all.md)
+ [SEC04-BP03 Automatizar la respuesta a eventos](sec_detect_investigate_events_auto_response.md)
+ [SEC04-BP04 Implementar eventos de seguridad procesables](sec_detect_investigate_events_actionable_events.md)
# SEC04-BP01 Configurar el registro de servicios y aplicaciones
Configure la creación de registros a lo largo de la carga de trabajo, que incluye los registros de aplicaciones, los registros de recursos y los registros de servicios de AWS. Por ejemplo, asegúrese de que AWS CloudTrail, Amazon CloudWatch Logs, Amazon GuardDuty y AWS Security Hub CSPM estén activados para todas las cuentas de su organización.
Una práctica fundamental consiste en establecer un conjunto de mecanismos de detección en el nivel de cuenta. Este conjunto base de mecanismos está pensado para registrar y detectar una amplia gama de acciones en todos los recursos de su cuenta. Le permiten conformar una capacidad de detección completa con opciones que incluyen la corrección automática e integraciones con socios para incorporar funcionalidades.
Entre los servicios de AWS que pueden implementar este conjunto básico se incluyen:
+ [AWS CloudTrail](http://aws.amazon.com/cloudtrail) proporciona un historial de eventos de su actividad de cuenta de AWS, incluidas las acciones emprendidas mediante la Consola de administración de AWS, los SDK de AWS, las herramientas de línea de comandos y otros servicios de AWS.
+ [AWS Config](http://aws.amazon.com/config) supervisa y registra las configuraciones de sus recursos de AWS y le permite automatizar la evaluación y la corrección con respecto a las configuraciones deseadas.
+ [Amazon GuardDuty](http://aws.amazon.com/guardduty) es un servicio de detección de amenazas que supervisa sin descanso cualquier actividad malintencionada o comportamiento no autorizado para proteger sus cargas de trabajo y sus cuentas de AWS.
+ [AWS Security Hub CSPM](http://aws.amazon.com/security-hub) proporciona un único lugar en el que se incorporan, organizan y priorizan las alertas de seguridad, o los hallazgos, desde varios servicios de AWS y productos de terceros opcionales para ofrecerle una vista completa de las alertas de seguridad y los estados de conformidad.
Partiendo de la base en el nivel de cuenta, muchos servicios principales de AWS, como [Amazon Virtual Private Cloud Console (Amazon VPC)](http://aws.amazon.com/vpc), ofrecen características de registro en el nivel de servicio. [Los registros de flujo de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) le permiten captar información sobre el tráfico de IP que proviene y llega a las interfaces de red que ofrecen información valiosa sobre el historial de conectividad y desencadenan acciones automatizadas sobre la base de comportamientos anómalos.
En el caso de las instancias de Amazon Elastic Compute Cloud (Amazon EC2) y el registro basado en aplicaciones que no se origina en servicios de AWS, los registros se pueden almacenar y analizar con [Amazon CloudWatch Logs](http://aws.amazon.com/cloudwatch). Una [agente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) recopila los registros del sistema operativo y las aplicaciones que están en ejecución y los almacena automáticamente. Una vez que los registros están disponibles en CloudWatch Logs, puede [procesarlos en tiempo real](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html)o profundizar en su análisis con [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html).
Poder extraer información significativa de grandes volúmenes de datos de eventos y registros generados por arquitecturas complejas es igual de importante que recopilar y agregar registros. Consulte las *Supervisión* del [documento técnico Pilar de fiabilidad](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/monitor-workload-resources.html) para obtener más detalles. Los registros en sí pueden contener datos considerados confidenciales, ya sea cuando llegan por error datos de aplicación a los archivos de registro que está capturando el agente de CloudWatch Logs o cuando está configurado el registro entre regiones para agregar registros y existen cuestiones legislativas sobre el traslado transfronterizo de ciertos tipos de información.
Un enfoque consiste en usar las funciones de AWS Lambda, desencadenadas en eventos en los que se entregan los registros, para filtrar y ocultar datos de los registros antes de enviarlos a una ubicación de registros central, como un bucket de Amazon Simple Storage Service (Amazon S3). Los registros íntegros pueden conservarse en un bucket local hasta que haya transcurrido un tiempo razonable (según lo determine la legislación y su equipo jurídico), en cuyo momento una regla de ciclo de vida de Amazon S3 podrá eliminarlos automáticamente. Los registros pueden protegerse aún más en Amazon S3 utilizando [Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html), donde puede almacenar objetos utilizando el modelo «escribe una vez, lee muchas veces» (WORM).
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Active el registro de servicios de AWS: active el registro de servicios de AWS para cumplir sus requisitos. Entre las capacidades de registro se incluyen las siguientes: registros de flujo de Amazon VPC, registros de Elastic Load Balancing (ELB), registros de buckets de Amazon S3, registros de acceso de CloudFront, registros de consultas de Amazon Route 53 y registros de Amazon Relational Database Service (Amazon RDS).
+ [AWS Answers: capacidades de creación de registros de seguridad de AWS nativas ](https://aws.amazon.com/answers/logging/aws-native-security-logging-capabilities/)
+ Evalúe y habilite la creación de registros específicos de aplicaciones y sistemas operativos para detectar comportamientos sospechosos.
+ [ Introducción a CloudWatch Logs ](http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [ Herramientas para desarrolladores y análisis de registros ](https://aws.amazon.com/marketplace/search/results?category=4988009011)
+ Aplique controles apropiados a los registros: los registros pueden contener información confidencial y solo los usuarios autorizados deben tener acceso a ellos. Considere la posibilidad de restringir los permisos de los buckets de Amazon S3 y los grupos de registros de CloudWatch Logs.
+ [ Autenticación y control de accesos para Amazon CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)
+ [Administración de identidades y accesos en Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
+ Configure [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html): Cuentas de AWS es un servicio de detección de amenazas que busca continuamente cualquier actividad malintencionada o comportamiento no autorizado para proteger sus GuardDuty y sus cargas de trabajo. Active GuardDuty y configure alertas automatizadas para enviar por correo electrónico en el laboratorio.
+ [Configure un registro de seguimiento personalizado en CloudTrail](http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html): configurar un registro de seguimiento le permite almacenar registros durante un periodo de tiempo superior al predeterminado y analizarlos más tarde.
+ Habilite [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html): AWS Config ofrece una vista detallada de la configuración de los recursos de AWS en su Cuenta de AWS. Esta vista incluye la manera en la que los recursos se relacionan entre sí y cuál era su configuración anterior, para que pueda ver los cambios en las configuraciones y relaciones con el transcurso del tiempo.
+ Habilite [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): Security Hub CSPM le proporciona una vista completa de su estado de seguridad en AWS y le ayuda a comprobar su cumplimiento de los estándares sectoriales y prácticas recomendadas en cuanto a seguridad. Security Hub CSPM recopila sus datos de seguridad de varias Cuentas de AWS, servicios y productos de terceros asociados compatibles y le ayuda a analizar sus tendencias de seguridad y a identificar los problemas de seguridad de máxima prioridad.
## Recursos
**Documentos relacionados:**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Introducción: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Soluciones de socios de seguridad: registro y monitorización](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Vídeos relacionados:**
+ [ Supervisión centralizada de la configuración de recursos y el cumplimiento ](https://youtu.be/kErRv4YB_T4)
+ [Corrección de los hallazgos de Amazon GuardDuty y AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Administración de amenazas en la nube: Amazon GuardDuty y AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
**Ejemplos relacionados:**
+ [ Laboratorio: despliegue automatizado de controles de detección ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP02 Análisis centralizados de registros, hallazgos y métricas
Los equipos de operaciones de seguridad confían en la recopilación de registros y el uso de herramientas de búsqueda para descubrir posibles eventos de interés, que podrían indicar una actividad no autorizada o un cambio no intencionado. Sin embargo, solo con analizar los datos recopilados y procesar manualmente la información no basta para satisfacer el volumen de información procedente de arquitecturas complejas. Solo con los análisis y los informes no se facilita la asignación de los recursos adecuados para trabajar en un evento a tiempo.
Una práctica recomendada para crear un equipo de operaciones de seguridad eficaz es integrar en profundidad el flujo de hallazgos y eventos de seguridad en un sistema de flujo de trabajo y notificación, como un sistema de emisión de tiques, un sistema de errores o problemas u otro sistema de administración de eventos e información de seguridad (SIEM, por sus siglas en inglés). De esta forma, se saca el flujo de trabajo de informes estáticos y de correo electrónico, y le permite enrutar, escalar y administrar eventos o hallazgos. Numerosas organizaciones ya integran también alertas de seguridad en sus plataformas de productividad de desarrolladores, de colaboración o de chats. Para las organizaciones que estén comenzando a incorporar la automatización, un sistema de tickets de baja latencia basado en API ofrece una flexibilidad considerable al planificar qué automatizar primero.
Esta práctica recomendada no se aplica solo a los eventos de seguridad generados a partir de mensajes de registro que muestran eventos de red o actividad del usuario, sino también a partir de cambios detectados en la propia infraestructura. La capacidad de detectar cambios, determinar su conveniencia y luego enrutar esa información al flujo de trabajo de corrección adecuado resulta esencial para mantener y validar una arquitectura segura en el contexto de los cambios en los que la naturaleza de su indeseabilidad es lo suficientemente sutil como para que su ejecución no pueda evitarse actualmente con una combinación de configuraciones de AWS Identity and Access Management (IAM) y AWS Organizations.
Amazon GuardDuty y AWS Security Hub CSPM ofrecen mecanismos de agregación, desduplicación y análisis para los registros que también están disponibles mediante otros servicios de AWS. GuardDuty ingiere, agrega y analiza información de fuentes como eventos de administración y datos de AWS CloudTrail, registros DNS de VPC y registros de flujo de VPC. Security Hub CSPM puede ingerir, agregar y analizar los resultados de GuardDuty, AWS Config, Amazon Inspector, Amazon Macie y AWS Firewall Manager, y un número significativo de productos de seguridad de terceros disponibles en AWS Marketplace y, si está convenientemente compilado, su propio código. Tanto GuardDuty como Security Hub CSPM tienen un modelo de administrador-miembro que puede combinar los hallazgos y los conocimientos de varias cuentas, los clientes con un SIEM local suelen utilizar Security Hub CSPM como registro del lado de AWS y un preprocesador y agregador de alertas a partir del que pueden ingerir Amazon EventBridge mediante un procesador y reenviador basado en AWS Lambda.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Evaluar las capacidades de procesamiento de registros: evalúe de las opciones disponibles para procesar registros.
+ [Usar Amazon OpenSearch Service para registrar y supervisar (casi) todo ](https://d1.awsstatic.com/whitepapers/whitepaper-use-amazon-elasticsearch-to-log-and-monitor-almost-everything.pdf)
+ [Búsqueda de un socio especializado en soluciones de registro y monitoreo ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
+ Como punto de partida para el análisis de registros de CloudTrail, pruebe con Amazon Athena.
+ [ Configuración de Athena para analizar registros de CloudTrail ](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html)
+ Implementar el registro centralizado en AWS: consulte la siguiente solución de ejemplo de AWS para centralizar el registro procedente de varias fuentes.
+ [Solución de centralización de registros ](https://aws.amazon.com/solutions/centralized-logging/https://aws.amazon.com/solutions/centralized-logging/)
+ Implementar el registro centralizado con un socio: los socios de APN tienen soluciones que le ayudarán a analizar los registros de forma centralizada.
+ [ Registro y supervisión ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
## Recursos
**Documentos relacionados:**
+ [ Soluciones de AWS: registro centralizado ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Introducción: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Soluciones de socios de seguridad: registro y monitorización](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Vídeos relacionados:**
+ [ Supervisión centralizada de la configuración de recursos y el cumplimiento ](https://youtu.be/kErRv4YB_T4)
+ [Corrección de los hallazgos de Amazon GuardDuty y AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Administración de amenazas en la nube: Amazon GuardDuty y AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
# SEC04-BP03 Automatizar la respuesta a eventos
El uso de la automatización para investigar y corregir eventos reduce el esfuerzo y los posibles errores humanos, y le permite escalar sus capacidades de investigación. Las revisiones frecuentes le ayudarán a ajustar sus herramientas de automatización y a aplicar iteraciones continuas.
En AWS, la investigación de eventos de interés y la información sobre cambios potencialmente inesperados en un flujo de trabajo automatizado se pueden lograr con Amazon EventBridge. Este servicio ofrece un motor de reglas escalable diseñado para gestionar tanto formatos de eventos nativos de AWS (p. ej., eventos de AWS CloudTrail) como eventos personalizados que puede generar a partir de su aplicación. Amazon GuardDuty también le permite enrutar eventos a un sistema de flujo de trabajo para esos sistemas de respuesta a incidentes de creación (AWS Step Functions) o a una cuenta de seguridad centralizada, o a un bucket para seguir analizándolos.
La detección de cambios y el enrutamiento de esta información al flujo de trabajo correcto también se puede llevar a cabo utilizando Reglas de AWS Config y [paquetes de conformidad](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html). AWS Config detecta cambios en los servicios del ámbito (aunque con una mayor latencia que EventBridge) y genera eventos que se pueden analizar con Reglas de AWS Config para restaurar, aplicar la política de conformidad y reenviar información a sistemas, como plataformas de administración de cambios y sistemas de emisión de tiques operativos. Además de escribir sus propias funciones de Lambda para responder a eventos de AWS Config, puede utilizar el [kit de desarrollo de Reglas de AWS Config](https://github.com/awslabs/aws-config-rdk)y una [biblioteca de código abierto](https://github.com/awslabs/aws-config-rules) Reglas de AWS Config. Los paquetes de conformidad son una colección de Reglas de AWS Config y acciones de corrección que se despliegan como una entidad única elaborada como una plantilla YAML. A [plantilla de paquete de conformidad de ejemplo](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) está disponible para el pilar de seguridad del modelo Well-Architected.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana
## Guía para la implementación
+ Implementar alertas automatizadas con GuardDuty: GuardDuty es un servicio de detección de amenazas que supervisa sin descanso cualquier actividad malintencionada o comportamiento no autorizado para proteger sus cargas de trabajo y sus Cuentas de AWS. Active GuardDuty y configure alertas automatizadas.
+ Automatizar los procesos de investigación: desarrolle procesos automatizados que investiguen un evento y envíen la información a un administrador para ganar tiempo.
+ [ Laboratorio: experiencia práctica con Amazon GuardDuty ](https://hands-on-guardduty.awssecworkshops.com/)
## Recursos
**Documentos relacionados:**
+ [ Soluciones de AWS: registro centralizado ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Introducción: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Soluciones de socios de seguridad: registro y monitorización](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
+ [ Configuración de Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)
**Vídeos relacionados:**
+ [ Supervisión centralizada de la configuración de recursos y el cumplimiento ](https://youtu.be/kErRv4YB_T4)
+ [Corrección de los hallazgos de Amazon GuardDuty y AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Administración de amenazas en la nube: Amazon GuardDuty y AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
**Ejemplos relacionados:**
+ [Laboratorio: Despliegue automatizado de controles de detección ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP04 Implementar eventos de seguridad procesables
Cree alertas que se envíen a su equipo y que este pueda actuar sobre ellas. Asegúrese de que las alertas incluyen información relevante para que el equipo pueda actuar. Para cada mecanismo de detección que tenga, también debería tener un proceso, en forma de [runbook](https://wa.aws.amazon.com/wat.concept.runbook.en.html) o bien [manual](https://wa.aws.amazon.com/wat.concept.playbook.en.html), para realizar la investigación. Por ejemplo, cuando se activa [Amazon GuardDuty](http://aws.amazon.com/guardduty), se generan diferentes [resultados](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html). Debe tener una entrada de runbook para cada tipo de resultado, por ejemplo, si se detecta un [troyano](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_trojan.html) , su runbook tiene instrucciones simples que indican a alguien que debe investigarlo y solucionarlo.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
+ Descubra las métricas disponibles para los servicios de AWS: descubra las métricas disponibles a través de Amazon CloudWatch para los servicios que está utilizando.
+ [Documentación de servicio de AWS](https://aws.amazon.com/documentation/)
+ [Uso de métricas de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ Configure las alarmas de Amazon CloudWatch.
+ [Uso de alarmas de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## Recursos
**Documentos relacionados:**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [Soluciones de socios de seguridad: registro y monitorización](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Vídeos relacionados:**
+ [ Centrally Monitoring Resource Configuration and Compliance (Supervisión centralizada de la configuración de recursos y el cumplimiento) ](https://youtu.be/kErRv4YB_T4)
+ [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Corrección de los resultados de Amazon GuardDuty y AWS Security Hub CSPM) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Administración de amenazas en la nube: Amazon GuardDuty y AWS Security Hub CSPM) ](https://youtu.be/vhYsm5gq9jE)
# Protección de la infraestructura
**Topics**
+ [SEC 5 ¿Cómo protege sus redes?](w2aac19b7c11b5.md)
+ [SEC 6 ¿Cómo protege sus recursos informáticos?](w2aac19b7c11b7.md)
# SEC 5 ¿Cómo protege sus redes?
Cualquier carga de trabajo que tenga forma de conexión de red, ya sea internet o una red privada, requiere varias capas de defensa para protegerse de amenazas internas y externas basadas en la red.
**Topics**
+ [SEC05-BP01 Crear capas de red](sec_network_protection_create_layers.md)
+ [SEC05-BP02 Controlar el tráfico en todas las capas](sec_network_protection_layered.md)
+ [SEC05-BP03 Automatizar la protección de la red](sec_network_protection_auto_protect.md)
+ [SEC05-BP04 Implementar inspección y protección](sec_network_protection_inspection.md)
# SEC05-BP01 Crear capas de red
Agrupe los componentes que comparten requisitos de accesibilidad en capas. Por ejemplo, un clúster de base de datos en una nube virtual privada (VPC) sin necesidad de acceso a Internet debe colocarse en subredes sin enrutamiento hacia Internet o desde Internet. En una carga de trabajo sin servidor que funcione sin una VPC, una estratificación y segmentación similar con microservicios puede lograr el mismo objetivo.
Los componentes como instancias Amazon Elastic Compute Cloud (Amazon EC2), clústeres de base de datos de Amazon Relational Database Service (Amazon RDS) y funciones AWS Lambda que comparten requisitos de accesibilidad pueden segmentarse en capas formadas por subredes. Por ejemplo, un clúster de base de datos de Amazon RDS en una VPC sin necesidad de acceso a Internet debe colocarse en subredes sin enrutamiento hacia Internet o desde Internet. Este enfoque por capas para los controles mitiga el impacto de una configuración errónea de una sola capa, que podría permitir un acceso involuntario. Para Lambda, puede ejecutar sus funciones en su VPC a fin de aprovechar los controles basados en VPC.
Para la conectividad de redes que pueden incluir miles de VPC, cuentas de AWS y redes locales, debe utilizar [AWS Transit Gateway](http://aws.amazon.com/transit-gateway). Sirve de centro que controla cómo se enruta el tráfico entre todas las redes conectadas, que actúan como radios. El tráfico entre una Amazon Virtual Private Cloud y AWS Transit Gateway permanece en la red privada de AWS, lo que reduce los vectores de amenazas externas, como los ataques de denegación de servicio distribuido (DDoS) y los ataques comunes, como la inyección de código SQL, los scripts entre sitios, la falsificación de solicitudes entre sitios o el abuso del código de autenticación dañado. El intercambio entre regiones de AWS Transit Gateway también cifra el tráfico entre regiones sin ningún punto de error o cuello de botella en el ancho de banda.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Cree subredes en la VPC: cree subredes para cada capa (en grupos que incluyan varias zonas de disponibilidad) y asocie tablas de enrutamiento para controlar el enrutamiento.
+ [VPC y subredes ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
+ [Tablas de enrutamiento ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
## Recursos
**Documentos relacionados:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+ [Seguridad de Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Introducción a AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Vídeos relacionados:**
+ [AWS Transit Gateway reference architectures for many VPCs (Arquitecturas de referencia de AWS Transit Gateway para muchas VPC) ](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Aceleración y protección de aplicaciones con Amazon CloudFront, AWS WAF y AWS Shield)](https://youtu.be/0xlwLEccRe0)
**Ejemplos relacionados:**
+ [Laboratorio: Despliegue automatizado de VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP02 Controlar el tráfico en todas las capas
Al diseñar su topología de red, debería examinar los requisitos de conectividad de cada componente. Por ejemplo, si un componente requiere accesibilidad a Internet (entrante y saliente), conectividad a las VPC, servicios en la periferia y centros de datos externos.
Una VPC le permite definir su topología de red que abarca una Región de AWS, con un rango de direcciones IPv4 privadas que puede configurar o un rango de direcciones IPv6 que selecciona AWS. Debe aplicar múltiples controles con un enfoque de defensa en profundidad tanto para el tráfico entrante como para el saliente, incluido el uso de grupos de seguridad (firewall de inspección con estado), ACL de red, subredes y tablas de enrutamiento. Puede crear subredes en una zona de disponibilidad de una VPC. Cada subred puede tener una tabla de enrutamiento asociada que define las reglas para administrar las rutas que sigue el tráfico de la subred. Puede definir una subred que se pueda enrutar en Internet con una ruta que se dirija a una puerta de enlace de Internet o NAT asociada a la VPC o mediante otra VPC.
Cuando una instancia, una base de datos de Amazon Relational Database Service (Amazon RDS) u otro servicio se lanza en una VPC, tiene su propio grupo de seguridad por interfaz de red. Este firewall está situado fuera de la capa del sistema operativo y se puede usar para definir reglas sobre el tráfico entrante y saliente permitido. También puede definir las relaciones entre grupos de seguridad. Por ejemplo, las instancias de un grupo de seguridad de nivel de base de datos solo aceptan tráfico de instancias de nivel de aplicación, según la referencia de los grupos de seguridad aplicados a las instancias implicadas. A no ser que utilice protocolos que no sean TCP, no debería ser necesario disponer de una instancia de Amazon Elastic Compute Cloud (Amazon EC2) que sea directamente accesible desde Internet (ni siquiera con puertos restringidos por grupos de seguridad) sin un equilibrador de carga o [CloudFront](https://aws.amazon.com/cloudfront). Esto ayuda en la protección ante el acceso no intencionado debido a un problema con el sistema operativo o la aplicación. Una subred también puede tener una ACL de red asociada, que actúa como firewall sin estado. Debería configurar la ACL de red para que estreche el ámbito del tráfico permitido entre capas; tenga en cuenta que tiene que definir reglas tanto para el tráfico entrante como para el saliente.
Algunos servicios de AWS requieren que los componentes accedan a Internet para realizar llamadas a la API, donde están ubicados los [puntos de conexión de la API de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) . Otros servicios de AWS usan [Puntos de enlace de la VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) en sus Amazon VPC. Muchos servicios de AWS, incluidos Amazon S3 y Amazon DynamoDB, son compatibles con los puntos de conexión de VPC, y esta tecnología se ha generalizado en [AWS PrivateLink](https://aws.amazon.com/privatelink/). Le recomendamos que utilice este enfoque para acceder a servicios de AWS, servicios de terceros y sus propios servicios alojados en otras VPC de forma segura. Todo el tráfico de red de AWS PrivateLink permanece en la estructura global de AWS y nunca pasa por Internet. La conectividad solamente la puede iniciar el consumidor del servicio y no el proveedor de este. El uso de AWS PrivateLink para el acceso de un servicio externo le permite crear VPC aisladas por espacios vacíos sin acceso a Internet y ayuda a proteger sus VPC de vectores de amenaza externos. Los servicios de terceros pueden usar AWS PrivateLink para permitir que sus clientes se conecten a los servicios de sus VPC a través de direcciones IP privadas. Para activos de VPC que necesiten realizar conexiones salientes a Internet, se pueden establecer para que sean solo salientes (unidireccionales) mediante una puerta de enlace NAT administrada por AWS, puertas de enlace de Internet solo salientes o proxies web que cree y administre.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Controlar el tráfico de web en una VPC: implemente prácticas recomendadas de VPC para controlar el tráfico.
+ [Seguridad de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)
+ [Puntos de enlace de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [Grupo de seguridad de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [ACL de red](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ Controlar el tráfico en la periferia: implemente servicios en la periferia, como Amazon CloudFront, para proporcionar una capa adicional de protección y otras características.
+ [Casos de uso de Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html)
+ [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
+ [Firewall para aplicaciones web de AWS (AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html)
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ [Enrutamiento de entrada de Amazon VPC](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/)
+ Controlar el tráfico de red privado: implemente servicios que protejan el tráfico privado para su carga de trabajo.
+ [Interconexión de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ [Servicios de punto de conexión de Amazon VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html)
+ [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [AWS Site-to-site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html)
+ [Puntos de acceso de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html)
## Recursos
**Documentos relacionados:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Introducción a AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Vídeos relacionados:**
+ [Arquitecturas de referencia de AWS Transit Gateway para muchas VPC](https://youtu.be/9Nikqn_02Oc)
+ [Aceleración y protección de aplicaciones con Amazon CloudFront, AWS WAF y AWS Shield](https://youtu.be/0xlwLEccRe0)
**Ejemplos relacionados:**
+ [Laboratorio: Despliegue automatizado de VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP03 Automatizar la protección de la red
Automatice los mecanismos de protección para proporcionar una red de autodefensa basada en la inteligencia de amenazas y la detección de anomalías. Por ejemplo, las herramientas de detección y prevención de intrusiones que puedan adaptarse a las amenazas actuales y reducir su impacto. Un firewall de una aplicación web es un ejemplo de dónde puede automatizar la protección de la red, por ejemplo, utilizando la solución AWS WAF Security Automations ([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations)) para bloquear automáticamente las solicitudes que se originen en direcciones IP asociadas con actores de amenazas conocidos.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana
## Guía para la implementación
+ Automatice la protección para el tráfico basado en la web: AWS ofrece una solución que utiliza AWS CloudFormation para desplegar automáticamente un conjunto de reglas de AWS WAF diseñadas para filtrar ataques basados en web frecuentes. Los usuarios pueden seleccionar entre funciones de protección preconfiguradas que definen las reglas incluidas en una lista de control de acceso web de AWS WAF (ACL web).
+ [Automatizaciones de seguridad de AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/)
+ Plantéese soluciones de AWS Partner: los socios de AWS ofrecen cientos de productos destacados que son equivalentes o idénticos a los controles que ya utiliza en sus entornos locales o que pueden integrarse con ellos. Estos productos complementan a los servicios de AWS existentes y le permiten implementar una completa arquitectura de seguridad, así como disfrutar de una experiencia más coherente tanto en la nube como en los entornos locales.
+ [Seguridad de la infraestructura](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## Recursos
**Documentos relacionados:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Seguridad del Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Introducción a AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Videos relacionados:**
+ [Arquitecturas de referencia de AWS Transit Gateway para muchas VPC](https://youtu.be/9Nikqn_02Oc)
+ [Aceleración y protección de aplicaciones con Amazon CloudFront, AWS WAF y AWS Shield](https://youtu.be/0xlwLEccRe0)
**Ejemplos relacionados:**
+ [Laboratorio: Despliegue automatizado de VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP04 Implementar inspección y protección
Inspeccione y filtre el tráfico en cada capa. Puede inspeccionar las configuraciones de VPC para buscar posibles accesos no deseados mediante [Analizador de acceso de red de VPC](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html). Puede especificar los requisitos de acceso a la red e identificar las posibles rutas de red que no los cumplan. En el caso de los componentes que realizan transacciones a través de protocolos basados en HTTP, un firewall de aplicaciones web puede ayudar a protegerlos de los ataques más habituales. [AWS WAF](https://aws.amazon.com/waf) es un firewall de aplicaciones web que le permite supervisar y bloquear las solicitudes HTTP(s) que coincidan con sus reglas configurables y que se reenvíen a una API de Amazon API Gateway, Amazon CloudFront o un Application Load Balancer. Para empezar con AWS WAF, puede usar [Reglas administradas de AWS](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) en combinación con sus propias [integraciones socios o utilizar las existentes](https://aws.amazon.com/waf/partners/).
Para administrar AWS WAF, las protecciones de AWS Shield Advanced y los grupos de seguridad de Amazon VPC en AWS Organizations, puede utilizar AWS Firewall Manager. Le permite configurar y administrar de forma centralizada las reglas de firewall en todas sus cuentas y aplicaciones, lo que facilita escalar la aplicación de las reglas comunes. También le permite responder rápidamente a los ataques, con [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html)o [soluciones](https://aws.amazon.com/solutions/aws-waf-security-automations/) que puede bloquear automáticamente las solicitudes no deseadas a sus aplicaciones web. Firewall Manager también funciona con [AWS Network Firewall](https://aws.amazon.com/network-firewall/). AWS Network Firewall es un servicio administrado que utiliza un motor de reglas para ofrecerle un control detallado del tráfico de red con estado y sin estado. Es compatible con las especificaciones del sistema de prevención de intrusiones (IPS) de código abierto [compatibles con Suricata](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) para ayudar a proteger su carga de trabajo.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
+ Configure Amazon GuardDuty: GuardDuty es un servicio de detección de amenazas que supervisa sin descanso cualquier actividad malintencionada o comportamiento no autorizado para proteger sus cargas de trabajo y sus Cuentas de AWS. Active GuardDuty y configure alertas automatizadas.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
+ [Laboratorio: Despliegue automatizado de controles de detección](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
+ Configure los registros de flujo de nube virtual privada (VPC): la característica de registros de flujo de VPC permite registrar información acerca del tráfico IP que entra y sale de las interfaces de red en la VPC. Los datos de registro de flujo se pueden publicar en Amazon CloudWatch Logs y Amazon Simple Storage Service (Amazon S3). Cuando cree un registro de flujo, podrá recuperar y ver sus datos en el destino elegido.
+ Considere el reflejo de tráfico de VPC: el reflejo de tráfico es una característica de Amazon VPC que puede utilizar para copiar el tráfico de red de una interfaz de red elástica de instancias de Amazon Elastic Compute Cloud (Amazon EC2) y, a continuación, enviarlo a dispositivos de seguridad y supervisión fuera de banda para la inspección de contenido, la supervisión de amenazas y la resolución de problemas.
+ [Reflejo de tráfico de VPC](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)
## Recursos
**Documentos relacionados:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Seguridad de Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Introducción a AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Vídeos relacionados:**
+ [AWS Transit Gateway reference architectures for many VPCs (Arquitecturas de referencia de AWS Transit Gateway para muchas VPC)](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Aceleración y protección de aplicaciones con Amazon CloudFront, AWS WAF y AWS Shield)](https://youtu.be/0xlwLEccRe0)
**Ejemplos relacionados:**
+ [Laboratorio: Despliegue automatizado de VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC 6 ¿Cómo protege sus recursos informáticos?
Los recursos informáticos en su carga de trabajo requieren varias capas de defensa para ayudar a protegerse de amenazas externas e internas. Entre los recursos informáticos se incluyen instancias EC2, contenedores, funciones de AWS Lambda, servicios de bases de datos, dispositivos IoT, etc.
**Topics**
+ [SEC06-BP01 Administrar las vulnerabilidades](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 Reducir la superficie expuesta a ataques](sec_protect_compute_reduce_surface.md)
+ [SEC06-BP03 Implementar servicios administrados](sec_protect_compute_implement_managed_services.md)
+ [SEC06-BP04 Automatizar la protección informática](sec_protect_compute_auto_protection.md)
+ [SEC06-BP05 Permitir que los usuarios realicen acciones a distancia](sec_protect_compute_actions_distance.md)
+ [SEC06-BP06 Validar la integridad del software](sec_protect_compute_validate_software_integrity.md)
# SEC06-BP01 Administrar las vulnerabilidades
Busque y analice con frecuencia vulnerabilidades en su código, sus dependencias y su infraestructura para ayudarle a protegerse contra las nuevas amenazas.
Empezando por la configuración de su infraestructura de computación, puede automatizar la creación y actualización de recursos con AWS CloudFormation. CloudFormation le permite crear plantillas en YAML o JSON, a partir de ejemplos de AWS o escribiendo las suyas propias. Esto le permite crear plantillas de infraestructura seguras de forma predeterminada que puede verificar con [CloudFormation Guard](https://aws.amazon.com/about-aws/whats-new/2020/10/aws-cloudformation-guard-an-open-source-cli-for-infrastructure-compliance-is-now-generally-available/), lo que le ahorra tiempo y reduce el riesgo de errores de configuración. Puede desarrollar su infraestructura y desplegar sus aplicaciones con una entrega continua, por ejemplo, con [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html), para automatizar la compilación, las pruebas y la publicación.
Usted es el responsable de la administración de parches para sus recursos de AWS, incluidas las instancias de Amazon Elastic Compute Cloud (Amazon EC2), las imágenes de máquina de Amazon (AMI) y muchos otros recursos de computación. En cuanto a las instancias Amazon EC2, AWS Systems Manager Patch Manager automatiza el proceso de aplicación de parches a instancias administradas con actualizaciones de seguridad y de otro tipo. Puede utilizar Patch Manager para aplicar parches tanto para sistemas operativos como para aplicaciones. (En Windows Server, la compatibilidad con aplicaciones está limitada a las actualizaciones de aplicaciones de Microsoft). Puede usar Patch Manager para instalar packs de servicio en instancias Windows y realizar mejoras de versiones menores en instancias Linux. Puede aplicar parches a flotas de instancias Amazon EC2 o a sus servidores y máquinas virtuales (VM) locales por tipo de sistema operativo. Esto incluye las versiones compatibles de Windows Server, Amazon Linux, Amazon Linux 2, CentOS, Debian Server, Oracle Linux, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise Server (SLES) y Ubuntu Server. Puede analizar instancias para ver solamente un informe de los parches que faltan, o puede analizar e instalar automáticamente todos los parches que falten.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Configure Amazon Inspector: Amazon Inspector comprueba la accesibilidad de red de sus instancias Amazon Elastic Compute Cloud (Amazon EC2) y el estado de seguridad de las aplicaciones que se ejecutan en esas instancias. Amazon Inspector evalúa las aplicaciones para analizar la exposición, las vulnerabilidades y las desviaciones con respecto a las prácticas recomendadas.
+ [¿Qué es Amazon Inspector?](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html)
+ Analice el código fuente: analice las bibliotecas y las dependencias en busca de vulnerabilidades.
+ [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html)
+ [OWASP: herramientas de análisis de código fuente](https://owasp.org/www-community/Source_Code_Analysis_Tools)
## Recursos
**Documentos relacionados:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Sustitución de un host bastión con Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Información general de seguridad de AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vídeos relacionados:**
+ [Ejecución de cargas de trabajo de alta seguridad en Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Protección de servicios de contenedor y sin servidor](https://youtu.be/kmSdyN9qiXY)
+ [Prácticas recomendadas de seguridad para el servicio de metadatos de instancias Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Ejemplos relacionados:**
+ [Laboratorio: despliegue de un firewall para aplicaciones web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP02 Reducir la superficie expuesta a ataques
Reduzca su exposición al acceso no intencionado endureciendo los sistemas operativos y minimizando los componentes, bibliotecas y servicios consumibles externamente que se estén utilizando. Puede comenzar por reducir los componentes no utilizados, ya sean paquetes de sistemas operativos, aplicaciones para cargas de trabajo basadas en Amazon Elastic Compute Cloud (Amazon EC2) o módulos de software externos en su código, para todas las cargas de trabajo. Puede encontrar muchas guías de endurecimiento y configuración de seguridad para sistemas operativos y software de servidores comunes. Por ejemplo, puede empezar por el [Centro para la seguridad de Internet](https://www.cisecurity.org/) e iterar a partir de ahí.
En Amazon EC2, puede crear sus propias imágenes de máquina de Amazon (AMI), a las que habrá aplicado parches y habrá endurecido, para ayudarle a cumplir los requisitos de seguridad específicos de su organización. Los parches y otros controles de seguridad que apliquen en la AMI serán efectivos en el momento en el que se crearon, no son dinámicos a no ser que los modifique tras el lanzamiento, por ejemplo con AWS Systems Manager.
Puede simplificar el proceso de creación de AMI seguras con EC2 Image Builder. EC2 Image Builder reduce significativamente el esfuerzo necesario para crear y mantener imágenes golden sin escribir ni mantener automatizaciones. Cuando hay disponibles actualizaciones de software, Image Builder produce automáticamente una nueva imagen sin exigir a los usuarios que inicien manualmente creaciones de imágenes. EC2 Image Builder le permite validar fácilmente la funcionalidad y seguridad de sus imágenes antes de usarlas en producción con pruebas propias o proporcionadas por AWS. También puede aplicar la configuración de seguridad facilitada por AWS para proteger aún más sus imágenes de modo que cumplan criterios de seguridad internos. Por ejemplo, puede producir imágenes que se ajusten al estándar Security Technical Implementation Guide (STIG) con plantillas proporcionadas por AWS.
Mediante el uso de herramientas de análisis de código estático de terceros, puede identificar problemas de seguridad comunes como enlaces de entrada de funciones sin comprobar, además de vulnerabilidades y exposiciones comunes aplicables (CVE). Puede usar [Amazon CodeGuru](https://aws.amazon.com/codeguru/) para los lenguajes compatibles. Las herramientas de comprobación de dependencias también se pueden usar para determinar si las bibliotecas con las que se vincula su código están actualizadas a su última versión, si no tienen CVE y si tienen condiciones de licencia que se ajusten a sus requisitos de política del software.
Con Amazon Inspector, puede llevar a cabo evaluaciones de configuración de sus instancias en busca de CVE conocidos, evaluarlas en función de referencias de seguridad y automatizar la notificación de defectos. Amazon Inspector se ejecuta en instancias de producción o en una canalización de compilación y notifica a los desarrolladores e ingenieros cuando detecten algún hallazgo. Puede acceder a los hallazgos programáticamente y dirigir el equipo a trabajos pendientes y sistemas de seguimiento de errores. [EC2 Image Builder](https://aws.amazon.com/image-builder/) se puede usar para mantener imágenes de servidor (AMI) con aplicación de parches automática, aplicación de políticas de seguridad proporcionadas por AWS y otras personalizaciones. Al usar contenedores, implemente el [análisis de imágenes de ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) en su canalización de compilación y aplíquelo de forma frecuente a su repositorio de imágenes para buscar CVE en sus contenedores.
Aunque Amazon Inspector y otras herramientas son eficaces a la hora de identificar configuraciones y cualquier CVE que pudiese constar, son necesarios otros métodos para comprobar su carga de trabajo en el nivel de la aplicación. [El fuzzing](https://owasp.org/www-community/Fuzzing) es un método conocido de detección de errores utilizando la automatización para inyectar datos con un formato incorrecto en los campos de entrada y otras áreas de su aplicación.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Endurezca el sistema operativo: configure el sistema operativo para cumplir con las prácticas recomendadas.
+ [Protección de Amazon Linux](https://www.cisecurity.org/benchmark/amazon_linux/)
+ [Protección de Microsoft Windows Server](https://www.cisecurity.org/benchmark/microsoft_windows_server/)
+ Endurezca los recursos en contenedores: configure los recursos en contenedores para cumplir con las prácticas recomendadas de seguridad.
+ Implemente prácticas recomendadas de AWS Lambda.
+ [Prácticas recomendadas de AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html)
## Recursos
**Documentos relacionados:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Sustitución de un host bastión con Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Información general de seguridad de AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Videos relacionados:**
+ [Ejecución de cargas de trabajo de alta seguridad en Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Protección de servicios de contenedor y sin servidor](https://youtu.be/kmSdyN9qiXY)
+ [Prácticas recomendadas de seguridad para el servicio de metadatos de instancias Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Ejemplos relacionados:**
+ [Laboratorio: Despliegue de un firewall para aplicaciones web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP03 Implementar servicios administrados
Implemente servicios que administren recursos, como Amazon Relational Database Service (Amazon RDS), AWS Lambda y Amazon Elastic Container Service (Amazon ECS), para reducir sus tareas de mantenimiento de seguridad como parte del modelo de responsabilidad compartida. Por ejemplo, Amazon RDS le ayuda a configurar, operar y escalar una base de datos relacional, y automatiza tareas administrativas, como el aprovisionamiento de hardware, la configuración de bases de datos, la aplicación de parches y la creación de copias de seguridad. Esto significa que tendrá más tiempo libre para centrarse en proteger su aplicación de otras maneras descritas en AWS Well-Architected Framework. Lambda le permite ejecutar código sin aprovisionar ni administrar servidores, de modo que solo tendrá que centrarse en la conectividad, invocación y seguridad en el nivel del código, y no en la infraestructura ni en el sistema operativo.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana
## Guía para la implementación
+ Explore los servicios disponibles: explore, pruebe e implemente servicios que administren recursos, como Amazon RDS, AWS Lambda y Amazon ECS.
## Recursos
**Documentos relacionados:**
+ [ Sitio web de AWS](https://aws.amazon.com/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Sustitución de un host bastión con Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Información general de seguridad de AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vídeos relacionados:**
+ [Ejecución de cargas de trabajo de alta seguridad en Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Protección de servicios de contenedor y sin servidor](https://youtu.be/kmSdyN9qiXY)
+ [Prácticas recomendadas de seguridad para el servicio de metadatos de instancias Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Ejemplos relacionados:**
+ [Laboratorio: solicitar un certificado público en AWS Certificate Manager ](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)
# SEC06-BP04 Automatizar la protección informática
Automatice sus mecanismos de protección informática, incluida la administración de vulnerabilidades, la reducción de superficies expuestas a ataques y la administración de recursos. La automatización le ayudará a dedicar tiempo a proteger otros aspectos de su carga de trabajo y a reducir el riesgo de errores humanos.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana
## Guía para la implementación
+ Automatizar la administración de la configuración: aplique y valide configuraciones seguras de forma automática mediante el uso de un servicio o herramienta de administración de la configuración.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Laboratorio: Despliegue automatizado de VPC](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
+ [Laboratorio: Despliegue automatizado de una aplicación web en EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
+ Automatizar la aplicación de revisiones en instancias Amazon Elastic Compute Cloud (Amazon EC2): Patch Manager de AWS Systems Manager automatiza el proceso de aplicación de revisiones a instancias administradas con actualizaciones de seguridad y de otro tipo. Puede utilizar Patch Manager para aplicar revisiones tanto para sistemas operativos como para aplicaciones.
+ [Patch Manager de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [Implementación de revisiones centralizadas para varias regiones y cuentas con Automatización de AWS Systems Manager](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ Implementar la detección y prevención de intrusiones: implemente una herramienta de detección y prevención de intrusiones para supervisar y detener las actividades maliciosas en las instancias.
+ Considerar soluciones de AWS Partner: los socios de AWS ofrecen cientos de productos destacados que son equivalentes o idénticos a los controles que ya utiliza en sus entornos locales o que pueden integrarse con ellos. Estos productos complementan a los servicios de AWS existentes y le permiten implementar una completa arquitectura de seguridad, así como disfrutar de una experiencia más coherente tanto en la nube como en los entornos locales.
+ [Seguridad de la infraestructura](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## Recursos
**Documentos relacionados:**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Patch Manager de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [Implementación de revisiones centralizadas para varias regiones y cuentas con Automatización de AWS Systems Manager](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ [Seguridad de la infraestructura](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
+ [Sustitución de un host bastión con Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Información general de seguridad de AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vídeos relacionados:**
+ [Ejecución de cargas de trabajo de alta seguridad en Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Protección de servicios de contenedor y sin servidor](https://youtu.be/kmSdyN9qiXY)
+ [Prácticas recomendadas de seguridad para el servicio de metadatos de instancias de Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Ejemplos relacionados:**
+ [Laboratorio: Despliegue de un firewall para aplicaciones web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
+ [Laboratorio: Despliegue automatizado de una aplicación web en EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
# SEC06-BP05 Permitir que los usuarios realicen acciones a distancia
La eliminación de la capacidad de acceder de forma interactiva reduce el riesgo de errores humanos y el potencial de llevar a cabo configuración o administración manuales. Por ejemplo, utilice un flujo de trabajo de administración de cambios para desplegar instancias de Amazon Elastic Compute Cloud (Amazon EC2) utilizando infraestructura como código, y después administre instancias de Amazon EC2 utilizando herramientas como AWS Systems Manager en lugar de permitir el acceso directo o mediante un host bastión. AWS Systems Manager puede automatizar una variedad de tareas de mantenimiento y despliegue, utilizando características como [automatización](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [de automatización](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), [documentos](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (guías de estrategias) y el [comando de ejecución](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html). Las pilas de AWS CloudFormation se generan a partir de las canalizaciones y pueden automatizar el despliegue de su infraestructura y las tareas de administración sin usar directamente la Consola de administración de AWS o las API.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
+ Sustituir el acceso a la consola: sustituya el acceso a la consola (SSH o RDP) a instancias con Run Command de AWS Systems Manager para automatizar las tareas de administración.
+ [Run Command de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
## Recursos
**Documentos relacionados:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Run Command de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [Sustitución de un host bastión con Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Información general de seguridad de AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vídeos relacionados:**
+ [Ejecución de cargas de trabajo de alta seguridad en Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Protección de servicios de contenedor y sin servidor](https://youtu.be/kmSdyN9qiXY)
+ [Prácticas recomendadas de seguridad para el servicio de metadatos de instancias de Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Ejemplos relacionados:**
+ [Laboratorio: Despliegue de un firewall para aplicaciones web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP06 Validar la integridad del software
Implemente mecanismos (por ejemplo, firma de código) para validar que el software, el código y las bibliotecas que se utilizan en la carga de trabajo procedan de fuentes de confianza y no se hayan manipulado. Por ejemplo, debería verificar el certificado de firma de código de binarios y scripts para confirmar el autor y asegurarse de que no se haya manipulado desde que el autor lo creó. [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) puede ayudar a garantizar la confianza e integridad de su código administrando de forma centralizada el ciclo de vida de la firma del código, incluida la certificación de la firma y las claves públicas y privadas. Puede aprender a usar patrones avanzados y prácticas recomendadas para la firma de código con [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/). Además, comparar la suma de comprobación de un software que haya descargado con la suma de comprobación del proveedor puede ayudar a garantizar que no haya existido manipulación alguna.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
+ Investigue mecanismos: la firma de código es un mecanismo que se puede usar para validar la integridad del software.
+ [NIST: consideraciones de seguridad para la firma de código](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf)
## Recursos
**Documentos relacionados:**
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [Nuevo: Firma de código, un control de confianza e integridad para AWS Lambda](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)
# Protección de los datos
**Topics**
+ [SEC 7 ¿Cómo clasifica sus datos?](w2aac19b7c13b5.md)
+ [SEC 8 ¿Cómo protege los datos en reposo?](w2aac19b7c13b7.md)
+ [SEC 9 ¿Cómo protege sus datos en tránsito?](w2aac19b7c13b9.md)
# SEC 7 ¿Cómo clasifica sus datos?
La clasificación proporciona una forma de categorizar los datos, basada en el nivel de importancia y la confidencialidad, para ayudarle a determinar los controles de protección y conservación adecuados.
**Topics**
+ [SEC07-BP01 Identificar los datos en su carga de trabajo](sec_data_classification_identify_data.md)
+ [SEC07-BP02 Definir controles de protección de datos](sec_data_classification_define_protection.md)
+ [SEC07-BP03 Automatizar la identificación y la clasificación](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 Definir la administración del ciclo de vida de los datos](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 Identificar los datos en su carga de trabajo
Tiene que comprender el tipo y la clasificación de los datos que procesa su carga de trabajo, los procesos empresariales asociados, el propietario de los datos, los requisitos legales y de conformidad aplicables, la ubicación del almacenamiento y los controles resultantes que se deben llevar a cabo. Esto puede incluir clasificaciones para indicar si los datos deben estar disponibles públicamente, si los datos son solamente de uso interno (como la información de identificación personal (PII) de los clientes) o si los datos son para un acceso más restringido, como los de propiedad intelectual, los que tienen protección jurídica especial o los marcados como confidenciales, entre otros. Al administrar minuciosamente un sistema de clasificación de datos adecuado junto con los requisitos del nivel de protección de cada carga de trabajo, puede asignar los controles o el nivel de protección y acceso adecuados para los datos. Por ejemplo, cualquiera puede acceder al contenido orientado al público, pero el contenido importante está cifrado y se almacena con una protección que requiere acceso autorizado a una clave para descifrar el contenido.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Considerar la detección de datos con Amazon Macie: Macie reconoce los datos confidenciales como información de identificación personal (PII) o propiedad intelectual.
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
## Recursos
**Documentos relacionados:**
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
+ [Documento técnico sobre clasificación de datos](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Introducción a Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Vídeos relacionados:**
+ [Introducción al nuevo Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP02 Definir controles de protección de datos
Proteja los datos de acuerdo con su nivel de clasificación. Por ejemplo, proteja los datos clasificados como públicos utilizando recomendaciones relevantes a la vez que protege los datos confidenciales con controles adicionales.
Mediante el uso de etiquetas de recursos, separando cuentas de AWS por nivel de confidencialidad (y potencialmente también según las reservas, enclaves o comunidades de intereses), políticas de IAM, SCP de AWS Organizations, AWS Key Management Service (AWS KMS) y AWS CloudHSM, puede definir e implementar sus políticas de clasificación y protección de datos con cifrado. Por ejemplo, si tiene un proyecto con buckets de S3 que contienen datos muy críticos o instancias de Amazon Elastic Compute Cloud (Amazon EC2) que procesen información confidencial, se les puede asignar la etiqueta `Project=ABC` . Solamente su equipo inmediato sabrá qué significa el código del proyecto; también proporciona una forma de utilizar el control de acceso basado en atributos. Puede definir los niveles de acceso a las claves de cifrado de AWS KMS con políticas y concesiones de claves para garantizar que los servicios adecuados tengan acceso al contenido confidencial a través de un mecanismo seguro. Si va a tomar decisiones de autorización en función de etiquetas, debería asegurarse de que los permisos de las etiquetas se definan convenientemente con políticas de etiquetas en AWS Organizations.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Definir el esquema de identificación y clasificación de datos: la identificación y clasificación de los datos se realiza para evaluar el impacto potencial, el tipo de datos que almacena y quién debe acceder a ellos.
+ [Documentación de AWS](https://docs.aws.amazon.com/)
+ Detectar los controles de AWS disponibles: para los servicios de AWS que está utilizando o pretende utilizar, detecte los controles de seguridad. Muchos servicios tienen una sección de seguridad en su documentación.
+ [Documentación de AWS](https://docs.aws.amazon.com/)
+ Identificar los recursos de cumplimiento de AWS: identifique los recursos que AWS tiene disponibles para ayudarle.
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## Recursos
**Documentos relacionados:**
+ [Documentación de AWS](https://docs.aws.amazon.com/)
+ [Documento técnico sobre clasificación de datos](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Introducción a Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [Falta el texto](https://aws.amazon.com/compliance/)
**Vídeos relacionados:**
+ [Introducción al nuevo Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 Automatizar la identificación y la clasificación
La automatización de la identificación y clasificación de datos puede ayudarle a implementar los controles correctos. El uso de la automatización para esto, en lugar del acceso directo de una persona, reduce el riesgo de error y exposición humanos. Debería valorar el uso de una herramienta como [Amazon Macie](https://aws.amazon.com/macie/), que usa el machine learning para detectar, clasificar y proteger automáticamente los datos confidenciales en AWS. Amazon Macie reconoce la información confidencial, como la información de identificación personal (PII) o la propiedad intelectual, y le proporciona paneles y alertas que le permiten visualizar cómo se desplazan estos datos o cómo se obtiene acceso a ellos.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana
## Guía para la implementación
+ Use el inventario de Amazon Simple Storage Service (Amazon S3): el inventario de Amazon S3 es una de las herramientas que puede utilizar para realizar una auditoría y elaborar informes sobre el estado de cifrado y replicación de los objetos.
+ [Inventario de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Plantéese usar Amazon Macie: Amazon Macie utiliza el aprendizaje automático para descubrir y clasificar automáticamente los datos almacenados en Amazon S3.
+ [Amazon Macie](https://aws.amazon.com/macie/)
## Recursos
**Documentos relacionados:**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Inventario de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [Documento técnico sobre clasificación de datos](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Introducción a Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Videos relacionados:**
+ [Introducción al nuevo Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 Definir la administración del ciclo de vida de los datos
Su estrategia de ciclo de vida definida debería basarse en el nivel de confidencialidad, además de en los requisitos jurídicos y organizativos. Debe tener en cuenta algunos aspectos, como la duración de retención, los procesos de destrucción, la administración del acceso, la transformación o el intercambio de los datos. Al seleccionar una metodología de clasificación de los datos, valore la facilidad de uso frente al acceso. También debería dar cabida a los distintos niveles de acceso y particularidades para implementar un enfoque seguro, pero utilizable, para cada nivel. Utilice siempre un enfoque de defensa en profundidad y reduzca el acceso humano a los datos y los mecanismos de transformación, eliminación o copia de los datos. Por ejemplo, exija a los usuarios que se autentiquen en una aplicación con métodos estrictos, y otorgue a la aplicación, en lugar de a los usuarios, el requisito de permiso de acceso para llevar a cabo una acción a distancia. Además, asegúrese de que los usuarios procedan de una ruta de red de confianza y requieran acceso a las claves de descifrado. Use herramientas como paneles e informes automáticos para proporcionar a los usuarios información de los datos en lugar de proporcionarles acceso directo a los datos.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
+ Identifique los tipos de datos: identifique los tipos de datos que almacena o procesa en su carga de trabajo. Esos datos podrían ser textos, imágenes, bases de datos binarias, etc.
## Recursos
**Documentos relacionados:**
+ [Documento técnico sobre clasificación de datos](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Introducción a Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Vídeos relacionados:**
+ [Introducción al nuevo Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC 8 ¿Cómo protege los datos en reposo?
Para proteger los datos en reposo debe implementar varios controles para reducir el riesgo de acceso no autorizado o mala gestión.
**Topics**
+ [SEC08-BP01 Implementar una administración de claves segura](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Aplicar el cifrado en reposo](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatizar la protección de los datos en reposo](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04: Aplicación del control de acceso](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05: Uso de mecanismos para mantener a las personas alejadas de los datos](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 Implementar una administración de claves segura
Mediante la definición de un enfoque de cifrado que incluya el almacenamiento, la rotación y el control de acceso a las claves, puede ayudar a facilitar protección para su contenido ante el acceso de usuarios no autorizados y ante la exposición innecesaria a los usuarios autorizados. AWS Key Management Service (AWS KMS) le ayuda a administrar las claves de cifrado y se [integra con muchos servicios de AWS](https://aws.amazon.com/kms/details/#integration). Este servicio proporciona almacenamiento duradero, seguro y redundante para sus claves de AWS KMS. Puede definir los alias de clave y las políticas a nivel de clave. Las políticas le ayudan a definir los administradores y los usuarios de las claves. Además, AWS CloudHSM es un módulo de seguridad de hardware (HSM, por sus siglas en inglés) basado en la nube que le permite generar y usar fácilmente sus propias claves de cifrado en la Nube de AWS. Le ayuda a satisfacer los requisitos de conformidad corporativos, contractuales y normativos para la seguridad de los datos con HSM validados de nivel 3 FIPS 140-2.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Implemente AWS KMS: AWS KMS facilita la creación y administración de claves y el control del uso del cifrado en una amplia gama de servicios de AWS y en sus aplicaciones. AWS KMS es un servicio seguro y resiliente que usa módulos de seguridad de hardware validados por FIPS 140-2 para proteger sus claves.
+ [Introducción: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ Plantéese el uso de SDK de cifrado de AWS: utilice el AWS SDK de cifrado con la integración de AWS KMS cuando la aplicación necesite cifrar datos en el lado del cliente.
+ [SDK de cifrado de AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## Recursos
**Documentos relacionados:**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [Herramientas y servicios criptográficos de AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Introducción: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [Protección de datos de Amazon S3 mediante cifrado](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Videos relacionados:**
+ [Cómo funciona el cifrado en AWS](https://youtu.be/plv7PQZICCM)
+ [Protección del almacenamiento en bloque de AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 Aplicar el cifrado en reposo
Debe asegurarse de que la única forma de almacenar los datos sea mediante el cifrado. AWS Key Management Service (AWS KMS) se integra perfectamente con muchos servicios de AWS para facilitarle el cifrado de todos sus datos en reposo. Por ejemplo, en Amazon Simple Storage Service (Amazon S3), puede establecer el [cifrado predeterminado](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) en un bucket de modo que todos los objetos nuevos se cifran automáticamente. Además, [Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)y [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) admiten la aplicación del cifrado mediante la configuración del cifrado predeterminado. Puede usar [Reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) para comprobar automáticamente que está utilizando el cifrado, por ejemplo, para [volúmenes de Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instancias de Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)y [buckets de Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Aplique el cifrado en reposo para Amazon Simple Storage Service (Amazon S3): implemente el cifrado predeterminado de bucket de Amazon S3.
+ [¿Cómo puedo activar el cifrado predeterminado para un bucket de S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ Use AWS Secrets Manager: Secrets Manager es un servicio de AWS que facilita la administración de secretos. Los secretos pueden ser credenciales de bases de datos, contraseñas, claves de API de terceros e, incluso, texto arbitrario.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ Configure el cifrado predeterminado para los nuevos volúmenes de EBS: especifique que desea que todos los volúmenes de EBS recién creados se creen de forma cifrada, con la opción de utilizar la clave predeterminada que proporciona AWS o una clave que cree usted.
+ [Cifrado predeterminado para volúmenes de EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ Configure imágenes de máquina de Amazon (AMI) cifradas: copiar una AMI existente con cifrado habilitado cifrará automáticamente las instantáneas y los volúmenes raíz.
+ [AMI con instantáneas cifradas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ Configure el cifrado de Amazon Relational Database Service (Amazon RDS): configure el cifrado para sus clústeres de base de datos e instantáneas en reposo de Amazon RDS mediante la activación de la opción de cifrado.
+ [Cifrado de recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)
+ Configure el cifrado en los servicios de AWS adicionales: en el caso de los servicios de AWS que utilice, determine las capacidades de cifrado.
+ [Documentación de AWS](https://docs.aws.amazon.com/)
## Recursos
**Documentos relacionados:**
+ [AMI con instantáneas cifradas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools)
+ [Documentación de AWS](https://docs.aws.amazon.com/)
+ [SDK de cifrado de AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [Documento técnico de detalles criptográficos de AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ [Herramientas y servicios criptográficos de AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Cifrado de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Cifrado predeterminado para volúmenes de EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [Cifrado de recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [¿Cómo puedo activar el cifrado predeterminado para un bucket de S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [Protección de datos de Amazon S3 mediante cifrado](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Vídeos relacionados:**
+ [How Encryption Works in AWS (Cómo funciona el cifrado en AWS)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Protección del almacenamiento en bloque de AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 Automatizar la protección de los datos en reposo
Utilice herramientas automatizadas para validar y aplicar continuamente los controles de datos en reposo; por ejemplo, verifique que solo hay recursos de almacenamiento cifrados. Puede [automatizar la validación de que todos los volúmenes de EBS están cifrados](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) con [Reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html). [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) también puede verificar varios controles mediante comprobaciones automatizadas con respecto a los estándares de seguridad. Además, su Reglas de AWS Config puede [corregir recursos no conformes automáticamente](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation).
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana
## Guía para la implementación
*Datos en reposo* representan los datos que se conservan en un almacenamiento no volátil durante cualquier periodo de tiempo en una carga de trabajo. Esto incluye el almacenamiento en bloque, el almacenamiento de objetos, las bases de datos, los archivos, los dispositivos IoT y todo tipo de forma de almacenamiento en la que se conserven los datos. La protección de los datos en reposo reduce el riesgo de acceso no autorizado si se implementan el cifrado y los controles de acceso adecuados.
Aplique el cifrado en reposo: debe asegurarse de que la única forma de almacenar los datos sea mediante el cifrado. AWS KMS se integra perfectamente con muchos servicios de AWS para facilitarle el cifrado de todos sus datos en reposo. Por ejemplo, en Amazon Simple Storage Service (Amazon S3), puede establecer el [cifrado predeterminado](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) en un bucket de modo que todos los objetos nuevos se cifran automáticamente. Además, [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) y [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) admiten la aplicación del cifrado mediante la configuración del cifrado predeterminado. Puede usar [las reglas de administradas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) para comprobar automáticamente que está utilizando el cifrado, por ejemplo, para [volúmenes de EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instancias de Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)y [buckets de Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
## Recursos
**Documentos relacionados:**
+ [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools)
+ [SDK de cifrado de AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**Vídeos relacionados:**
+ [How Encryption Works in AWS (Cómo funciona el cifrado en AWS)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Protección del almacenamiento en bloque de AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04: Aplicación del control de acceso
Aplique el control de acceso con mecanismos y privilegios mínimos, como copias de seguridad, aislamiento y control de versiones para proteger los datos en reposo. Impida que los operadores tengan acceso público a sus datos.
Los diferentes controles, como, por ejemplo, el acceso (mediante el uso del privilegio mínimo), las copias de seguridad (consulte [el documento técnico sobre fiabilidad](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)), el aislamiento y el control de versiones, pueden ayudar a proteger sus datos en reposo. El acceso a sus datos debe auditarse mediante mecanismos de detección que se han explicado anteriormente en este documento, entre los que se incluyen CloudTrail y el registro de nivel de servicios, como, por ejemplo, registros de acceso de Amazon Simple Storage Service (Amazon S3). Debe realizar un inventario de los datos a los que el público puede acceder y planificar cómo puede reducir la cantidad de datos disponibles a lo largo del tiempo. El bloqueo de almacenes de Amazon Glacier y el bloqueo de objetos de Amazon S3 son funcionalidades que ofrecen un control de acceso obligatorio. Una vez que una política de almacenes se bloquee con la opción de conformidad, ni siquiera el usuario raíz puede cambiarla hasta que venza el bloqueo. Este mecanismo cumple los requisitos de la administración de libros y registros de SEC, CFTC y FINRA. Para obtener más información, consulte [este documento técnico](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf).
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
+ Aplicación del control de acceso: aplique el control de acceso con privilegios mínimos, como, por ejemplo, el acceso a las claves de cifrado.
+ [Introducción a la administración de permisos de acceso a los recursos de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ Separación de los datos en función de los distintos niveles de clasificación: utilice diferentes Cuentas de AWS para los niveles de clasificación de datos administrados por AWS Organizations.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ Revisión de las políticas de AWS KMS: revise el nivel de acceso otorgado por las políticas de AWS KMS.
+ [Información general sobre la administración de acceso a sus recursos de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ Revisión de los permisos de los objetos y buckets de Amazon S3: revise periódicamente el nivel de acceso otorgado por las políticas de bucket de Amazon S3. Lo mejor es no tener publicados buckets que se puedan leer o en los que se pueda escribir. Plantéese utilizar AWS Config para detectar buckets que están disponibles al público, y Amazon CloudFront para ofrecer contenido de Amazon S3.
+ [Reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront: una combinación perfecta en la nube](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ Habilite el bloqueo de objetos y el control de versiones de Amazon S3.
+ [Uso del control de versiones](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [Bloqueo de objetos con el bloqueo de objetos de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ Uso del inventario de Amazon S3: el inventario de Amazon S3 es una de las herramientas que puede utilizar para realizar una auditoría y elaborar informes sobre el estado de cifrado y replicación de los objetos.
+ [Inventario de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Revisión de permisos compartidos de Amazon EBS y AMI: compartir permisos permite que se compartan imágenes y volúmenes con Cuentas de AWS externas a la carga de trabajo.
+ [Compartir una instantánea de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [AMI compartidas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
## Recursos
**Documentos relacionados:**
+ [Documento técnico Detalles criptográficos de AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Vídeos relacionados:**
+ [Protección del almacenamiento en bloque de AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05: Uso de mecanismos para mantener a las personas alejadas de los datos
Impida a todos los usuarios acceder directamente a sistemas e información confidenciales en circunstancias de funcionamiento normales. Por ejemplo, utilice un flujo de trabajo de administración de cambios para administrar instancias de Amazon Elastic Compute Cloud (Amazon EC2) con herramientas en lugar de permitir el acceso directo o un host bastión. Esto se puede lograr mediante la [automatización de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), que usa [documentos de automatización](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) que incluyen los pasos que han de seguirse para realizar tareas. Estos documentos se pueden almacenar en el control de código fuente, otros compañeros pueden revisarlos antes de su publicación, y pueden probarse de forma exhaustiva para reducir al mínimo el riesgo en comparación con el acceso al shell. Los usuarios empresariales podrían tener un panel en lugar de acceso directo a un almacén de datos para ejecutar consultas. Allí donde no se utilicen canalizaciones de CI/CD, determine qué controles y procesos son necesarios para ofrecer correctamente un mecanismo de acceso instantáneo que suele estar deshabilitado.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
+ Implemente mecanismos para mantener a las personas alejadas de los datos: entre estos mecanismos se incluyen el uso de paneles, como Quick, para mostrar datos a los usuarios en lugar de realizar consultas directas.
+ [Quick](https://aws.amazon.com/quicksight/)
+ Automatice la administración de la configuración: realice acciones a distancia, y aplique y valide configuraciones seguras de forma automática mediante el uso de un servicio o herramienta de administración de la configuración. Evite usar hosts bastión o acceder directamente a instancias de EC2.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Canalización de CI/CD para plantillas de AWS CloudFormation en AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## Recursos
**Documentos relacionados:**
+ [Documento técnico Detalles criptográficos de AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Vídeos relacionados:**
+ [Cómo funciona el cifrado en AWS](https://youtu.be/plv7PQZICCM)
+ [Protección del almacenamiento en bloque de AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC 9 ¿Cómo protege sus datos en tránsito?
Para proteger los datos en tránsito debe implementar varios controles para reducir el riesgo de acceso no autorizado o pérdida.
**Topics**
+ [SEC09-BP01: Implementación de la administración segura de claves y certificados](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Aplicar el cifrado en tránsito](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03: Automatización de la detección del acceso involuntario a los datos](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04: Autenticación de las comunicaciones de red](sec_protect_data_transit_authentication.md)
# SEC09-BP01: Implementación de la administración segura de claves y certificados
Almacene certificados y claves de cifrado de forma segura y rótelos en intervalos de tiempo adecuados con un estricto control de acceso. La mejor forma de hacer esto es utilizar un servicio administrado, como, por ejemplo, [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager). Le permite aprovisionar, administrar e implementar fácilmente certificados públicos y privados de seguridad de la capa de transporte (TLS) para utilizarlos con los servicios de AWS y sus recursos conectados internos. Los certificados de TLS se utilizan para proteger las comunicaciones de red y establecer la identidad de sitios web por Internet, así como de recursos en redes privadas. ACM se integra con los recursos de AWS, como, por ejemplo, los equilibradores de carga elásticos (ELB), las distribuciones de AWS y las API de API Gateway, además de gestionar renovaciones automáticas de certificados. Si utiliza ACM para implementar una CA raíz privada, esta puede proporcionar certificados y claves privadas para utilizarlos en instancias de Amazon Elastic Compute Cloud (Amazon EC2) contenedores, etc.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Implementación de la administración segura de claves y certificados: implemente una solución de administración segura de claves y certificados.
+ [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
+ [ Cómo alojar y administrar toda una infraestructura de certificados privados en AWS](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ Implementación de protocolos de seguridad: utilice protocolos seguros que ofrezcan autenticación y confidencialidad, como la seguridad de la capa de transporte (TLS) o IPsec, para reducir el riesgo de alteración o pérdida de datos. Consulte la documentación de AWS para obtener información sobre los protocolos y la seguridad pertinentes a los servicios que está utilizando.
## Recursos
**Documentos relacionados:**
+ [Documentación de AWS](https://docs.aws.amazon.com/)
# SEC09-BP02 Aplicar el cifrado en tránsito
Aplique los requisitos de cifrado definidos según los estándares y las recomendaciones adecuadas como ayuda para cumplir los requisitos organizativos, legales y de cumplimiento. Los servicios de AWS proporcionan puntos de conexión HTTPS que utilizan TLS para la comunicación, lo que proporciona cifrado en tránsito cuando se comunica con las API de AWS. Los protocolos inseguros, como HTTP, se pueden auditar y bloquear en una VPC mediante el uso de grupos de seguridad. Las solicitudes HTTP también se pueden [redireccionar automáticamente a HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) en Amazon CloudFront o en un [Balanceador de carga de aplicaciones](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Dispone de un control total sobre los recursos informáticos para implementar el cifrado en tránsito en los servicios. También puede usar la conectividad de VPN en la VPC desde una red externa para facilitar el cifrado de tráfico. Hay soluciones de terceros disponibles en AWS Marketplace, si tiene requisitos especiales.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Aplique el cifrado en tránsito: los requisitos de cifrado definidos deben basarse en los últimos estándares y prácticas recomendadas, y solo permitir protocolos seguros. Por ejemplo, configure solo un grupo de seguridad para permitir el protocolo HTTPS a una instancia de equilibrador de carga de aplicaciones o instancia Amazon Elastic Compute Cloud (Amazon EC2).
+ Configure protocolos seguros en los servicios periféricos: configure HTTPS con Amazon CloudFront y los cifrados necesarios.
+ [ Uso de HTTPS con CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ Utilice una VPN para la conectividad externa: considere la posibilidad de utilizar una red privada virtual (VPN) IPsec para proteger las conexiones punto a punto o de red a red para proporcionar tanto la privacidad como la integridad de los datos.
+ [ Conexiones de VPN ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+ Configure protocolos seguros en los equilibradores de carga: active el agente de escucha HTTPS para proteger las conexiones con los equilibradores de carga.
+ [ Cree un agente de escucha HTTPS para el balanceador de carga de aplicaciones ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ Configure protocolos seguros para las instancias: considere la posibilidad de configurar el cifrado HTTPS en las instancias.
+ [ Tutorial: configurar el servidor web Apache en Amazon Linux 2 para usar SSL/TLS ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+ Configure protocolos seguros en Amazon Relational Database Service (Amazon RDS): use la capa de sockets seguro (SSL) o la seguridad de la capa de transporte (TLS) para cifrar la conexión a las instancias de base de datos.
+ [ Usar SSL para cifrar una conexión a una instancia de base de datos ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ Configure protocolos seguros en Amazon Redshift: configure su clúster para que requiera una conexión de capa de sockets seguros (SSL) o de seguridad de la capa de transporte (TLS).
+ [ Configure las opciones de seguridad para las conexiones ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+ Configure protocolos seguros en servicios de AWS adicionales En el caso de los servicios de AWS que utilice, determine las capacidades de cifrado en tránsito.
## Recursos
**Documentos relacionados:**
+ [ Documentación de AWS](https://docs.aws.amazon.com/index.html)
# SEC09-BP03: Automatización de la detección del acceso involuntario a los datos
Utilice herramientas, tales como Amazon GuardDuty, para detectar automáticamente actividades sospechosas o intentos de trasladar datos fuera de los límites definidos. Por ejemplo, GuardDuty puede detectar actividad de lectura de Amazon Simple Storage Service (Amazon S3) que sea inusual con la [búsqueda Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Además de GuardDuty, [los registros de flujo de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), que capturan información sobre el tráfico de red, pueden utilizarse con Amazon EventBridge para desencadenar la detección de conexiones anómalas, tanto las que se han llegado a establecer como las denegadas. [El analizador de acceso de Amazon S3](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) puede ayudar a evaluar a qué datos pueden acceder ciertos usuarios en los buckets de Amazon S3.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Medio
## Guía para la implementación
+ Automatización de la detección del acceso involuntario a los datos: utilice una herramienta o mecanismo de detección para detectar automáticamente los intentos de trasladar datos fuera de los límites definidos; por ejemplo, para detectar un sistema de base de datos que esté copiando datos a un host desconocido.
+ [ Registros de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ Plantéese utilizar Amazon Macie: Amazon Macie es un servicio de privacidad y seguridad de datos totalmente administrado que utiliza el machine learning y la coincidencia de patrones para detectar y proteger los datos confidenciales en AWS.
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## Recursos
**Documentos relacionados:**
+ [ Registros de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04: Autenticación de las comunicaciones de red
Verifique la identidad de las comunicaciones mediante el uso de protocolos que admiten la autenticación, como la seguridad de la capa de transporte (TLS) o IPsec.
El uso de protocolos de red que admiten la autenticación permite que se establezca una relación de confianza entre las partes. Esta ventaja se añade al cifrado utilizado en el protocolo para reducir el riesgo de que las comunicaciones se alteren o se intercepten. Entre los protocolos comunes que implementan la autenticación se incluyen la seguridad de la capa de transporte (TLS), que se utiliza en numerosos servicios de AWS, e IPsec, que se utiliza en [AWS Virtual Private Network (Site-to-Site VPN)](http://aws.amazon.com/vpn).
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
+ Implementación de protocolos de seguridad: utilice protocolos seguros que ofrezcan autenticación y confidencialidad, como TLS o IPsec, para reducir el riesgo de alteración o pérdida de datos. Consulte la [documentación de AWS](https://docs.aws.amazon.com/) para obtener información sobre los protocolos y la seguridad pertinentes a los servicios que está utilizando.
## Recursos
**Documentos relacionados:**
+ [Documentación de AWS](https://docs.aws.amazon.com/)
# Respuesta ante incidentes
**Topics**
+ [SEC 10 ¿Cómo anticipa, responde a y se recupera de los incidentes?](w2aac19b7c15b5.md)
# SEC 10 ¿Cómo anticipa, responde a y se recupera de los incidentes?
La preparación es fundamental para investigar de forma oportuna y efectiva, dar respuesta a incidentes de seguridad, así como para minimizar posibles interrupciones en su organización.
**Topics**
+ [SEC10-BP01: Identificar el personal clave y los recursos externos](sec_incident_response_identify_personnel.md)
+ [SEC10-BP02: Desarrollar planes de administración de incidentes](sec_incident_response_develop_management_plans.md)
+ [SEC10-BP03: Preparar capacidades forenses](sec_incident_response_prepare_forensic.md)
+ [SEC10-BP04: Automatización de la capacidad de contención](sec_incident_response_auto_contain.md)
+ [SEC10-BP05: Aprovisionamiento previo del acceso](sec_incident_response_pre_provision_access.md)
+ [SEC10-BP06: Implementar previamente herramientas](sec_incident_response_pre_deploy_tools.md)
+ [SEC10-BP07 Ejecutar los días de juego](sec_incident_response_run_game_days.md)
# SEC10-BP01: Identificar el personal clave y los recursos externos
Identifique las obligaciones legales, el personal y los recursos internos y externos que ayudarían a su organización a responder ante un incidente.
Al definir su enfoque a la hora de responder ante un incidente en la nube, de forma conjunta con otros equipos (como el consejo jurídico, el equipo directivo, las partes interesadas de la empresa, los servicios de asistencia de AWS, entre otros), debe identificar el personal clave, las partes interesadas y los contactos pertinentes. Con el fin de reducir la dependencia y el tiempo de respuesta, asegúrese de que su equipo, los equipos especializados en seguridad y los equipos de intervención cuenten con los conocimientos adecuados sobre los servicios que utiliza y que tengan la oportunidad de realizar una formación práctica.
Le animamos a identificar a socios de seguridad externos de AWS que puedan ofrecerle una experiencia externa y una perspectiva diferente para aumentar sus capacidades de respuesta. Sus socios de seguridad de confianza pueden ayudarle a identificar posibles riesgos o amenazas con los que podría no estar familiarizado.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Identificar al personal clave de la organización: mantenga una lista de contactos del personal de su organización al que tendría que involucrar para responder ante un incidente y recuperarse de él.
+ Identificar a los socios externos: si es necesario, póngase en contacto con socios externos que puedan ayudarle a responder ante un incidente y recuperarse de él.
## Recursos
**Documentos relacionados:**
+ [Guía de respuesta ante incidentes de AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Vídeos relacionados:**
+ [Cómo prepararse y responder ante incidentes de seguridad en el entorno de AWS](https://youtu.be/8uiO0Z5meCs)
**Ejemplos relacionados:**
# SEC10-BP02: Desarrollar planes de administración de incidentes
Cree planes que le ayuden a responder ante un incidente, tanto en el proceso de comunicación como en su recuperación. Por ejemplo, puede iniciar un plan de respuesta ante incidentes con las situaciones más probables para su carga de trabajo y organización. Incluya la forma en que se comunicaría y derivaría tanto interna como externamente.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
Un plan de administración de incidentes es fundamental para responder y mitigar el impacto potencial de los incidentes de seguridad y recuperarse de él. Un plan de administración de incidentes es un proceso estructurado para identificar y solucionar los incidentes de seguridad y responder a ellos en el momento oportuno.
La nube tiene muchos de los mismos roles y requisitos operativos que se encuentran en un entorno local. A la hora de crear un plan de administración de incidentes, es importante tener en cuenta las estrategias de respuesta y recuperación que mejor se ajusten al resultado empresarial y a los requisitos de conformidad. Por ejemplo, si trabaja con cargas de trabajo en AWS que cumplen con la normativa FedRAMP en Estados Unidos, es útil cumplir con la [guía de administración de seguridad informática NIST SP 800-61](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf). Del mismo modo, cuando opere con cargas de trabajo con datos de información de identificación personal (PII) de Europa, considere situaciones como la forma en que podría proteger y responder a los problemas relacionados con la residencia de datos según lo dispuesto por las [normativa del Reglamento General de Protección de Datos (RGPD)](https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en).
Al crear un plan de administración de incidentes para sus cargas de trabajo que operan en AWS, empiece con el [modelo de responsabilidad compartida de AWS](https://aws.amazon.com/compliance/shared-responsibility-model/), para crear un enfoque de defensa en profundidad en la respuesta ante incidentes. En este modelo, AWS administra la seguridad de la nube y usted es responsable de la seguridad en la nube. Esto significa que retiene el control y es responsable de los controles de seguridad que decida implementar. La [AWS Security Incident Response Guide (Guía de respuesta ante incidentes de seguridad de AWS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) expone en detalle los conceptos clave y las orientaciones básicas para crear un plan de administración de incidentes centrado en la nube.
Un plan eficaz de administración de incidentes debe iterarse continuamente, manteniéndose al día con su objetivo de operaciones en la nube. Considere la posibilidad de utilizar los planes de implementación que se detallan a continuación cuando cree y haga evolucionar su plan de administración de incidentes.
+ **Forme para la respuesta ante incidentes:** cuando se produzca una desviación de la base de referencia definida (por ejemplo, un despliegue erróneo o una configuración incorrecta), tal vez tenga que responder e investigar. Para hacerlo correctamente, debe comprender qué controles y capacidades puede utilizar para la respuesta ante incidentes de seguridad en su entorno de AWS, así como los procesos que debe tener en cuenta para preparar, educar y formar a sus equipos de la nube que participan en la respuesta ante incidentes.
+ [Guías de estrategias](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_playbooks.html) y [runbooks](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_runbooks.html) son mecanismos eficaces para crear coherencia en la formación sobre cómo responder a los incidentes. Empiece por crear una lista inicial de procedimientos que se ejecuten con frecuencia durante la respuesta ante incidentes y siga iterando a medida que aprenda o utilice nuevos procedimientos.
+ Socializar las guías de estrategias y los runbooks a través de [días de juego programados](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_run_game_days.html). Durante los días de juego, simule la respuesta ante incidentes en un entorno controlado para que su equipo pueda recordar cómo responder y para verificar que los equipos implicados en la respuesta ante incidentes conocen bien los flujos de trabajo. Revise los resultados del evento simulado para identificar las mejoras y determinar si se necesita más formación o herramientas adicionales.
+ La seguridad se debe considerar el trabajo de todos. Genere un conocimiento colectivo del proceso de administración de incidentes mediante la participación de todo el personal que normalmente se encarga de las cargas de trabajo. Incluye todos los aspectos de su empresa: las operaciones, la prueba, el desarrollo, la seguridad, las operaciones empresariales y los líderes empresariales.
+ **Documentar el plan de administración de incidentes:** documente las herramientas y el proceso para registrar, actuar, comunicar el progreso y proporcionar notificaciones sobre incidentes activos. El objetivo del plan de administración de incidentes es verificar que se restaura el funcionamiento normal lo antes posible, se minimiza el impacto empresarial y se mantiene informadas a todas las partes interesadas. Los ejemplos de incidentes incluyen, aunque no de forma exhaustiva, la pérdida o el deterioro de la conectividad de red, un proceso o una API que no responden, una tarea programada que no se realiza (por ejemplo, una aplicación de revisiones con errores), la falta de disponibilidad de los datos de la aplicación o del servicio, la interrupción no planificada del servicio debido a eventos de seguridad, la filtración de credenciales o errores de configuración.
+ Identifique al principal responsable de la resolución de incidentes, por ejemplo, el propietario de la carga de trabajo. Tenga una orientación clara sobre quién dirigirá el incidente y cómo se tratará la comunicación. Cuando haya varias partes que participen en el proceso de resolución de incidentes, como un proveedor externo, considere la posibilidad de crear una *matriz de responsabilidades (RACI)*, en la que se detallen los roles y responsabilidades de los distintos equipos o personas necesarias para la resolución de incidentes.
En una matriz RACI se detalla lo siguiente:
+ **R: parte** *encargada* de completar la tarea.
+ **A: parte o parte interesada** *responsable* con la autoridad final sobre la realización correcta de la tarea específica.
+ **C: parte** *consultada* cuyas opiniones normalmente se consideran expertas.
+ **I: parte** *informada* a la que se le notifica el progreso, a menudo solo cuando se completa la tarea o el resultado.
+ **Clasificar los incidentes:** la definición y la clasificación de los incidentes en función de la gravedad y la puntuación del impacto ofrecen un enfoque estructurado para clasificar y resolver los incidentes. Las siguientes recomendaciones ilustran una *matriz de urgencia de impacto a resolución* para cuantificar un incidente. Por ejemplo, un incidente de impacto y urgencia bajos se considera un incidente de gravedad baja.
+ **Alta (A):** su empresa se ve considerablemente afectada. Las funciones fundamentales de su aplicación relacionadas con los recursos de AWS no están disponibles. Se reserva para los eventos más críticos que afectan a los sistemas de producción. El impacto del incidente aumenta rápidamente y el tiempo de corrección es muy importante.
+ **Media (M):** un servicio o una aplicación empresarial relacionado con los recursos de AWS está moderadamente afectado y funciona en un estado deteriorado. Las aplicaciones que contribuyen a los objetivos de nivel de servicio (SLO) se ven afectadas según los límites del acuerdo de nivel de servicio (SLA). Los sistemas pueden funcionar con una capacidad reducida sin mucho impacto financiero o de reputación.
+ **Baja (B):** las funciones no esenciales de su servicio o aplicación empresarial relacionadas con los recursos de AWS se ven afectadas. Los sistemas pueden funcionar con una capacidad reducida con un mínimo impacto financiero o de reputación.
+ **Estandarizar los controles de seguridad:** el objetivo de la estandarización de los controles de seguridad es lograr coherencia, trazabilidad y repetibilidad con respecto a los resultados operativos. Impulse la estandarización de las actividades clave que son fundamentales para la respuesta ante incidentes; por ejemplo:
+ **Administración de identidades y accesos:** establezca mecanismos para controlar el acceso a los datos y administrar los privilegios de las identidades de personas y máquinas. Amplíe su propia administración de identidades y accesos a la nube, mediante la seguridad federada con inicio de sesión único y privilegios basados en roles para optimizar la administración de los accesos. Para obtener prácticas recomendadas y planes de mejora para estandarizar la administración de los accesos, consulte la [sección de administración de identidades y accesos](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/identity-and-access-management.html) del documento técnico Pilar de seguridad.
+ **Administración de vulnerabilidades:** establezca mecanismos para identificar las vulnerabilidades de su entorno de AWS que puedan utilizar los atacantes para comprometer el sistema y hacer un uso indebido de él. Implemente controles de detección y prevención como mecanismos de seguridad para responder ante incidencias de seguridad y mitigar su posible impacto. Estandarice procesos como, por ejemplo, el modelado de amenazas como parte del ciclo de vida de la creación de su infraestructura y de la entrega de aplicaciones.
+ **Administración de configuraciones:** defina las configuraciones estándar y automatice los procedimientos para desplegar los recursos en la Nube de AWS. La estandarización tanto de la infraestructura como del aprovisionamiento de recursos contribuye a mitigar el riesgo de configuración incorrecta por despliegues erróneos o configuraciones incorrectas accidentales por intervención humana. Consulte la [sección de principios de diseño](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/design-principles.html) del documento técnico Pilar de excelencia operativa para obtener orientación y planes de mejora a fin de implementar este control.
+ **Registro y supervisión del control de auditoría:** implemente mecanismos para supervisar los recursos en busca de errores, deterioro del rendimiento y problemas de seguridad. La estandarización de estos controles también proporciona registros de auditoría de las actividades que se producen en su sistema, lo que contribuye a clasificar y solucionar a tiempo los problemas. Las prácticas recomendadas en [SEC04 («¿Cómo detecta e investiga los eventos de seguridad?»)](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) proporcionan orientación para implementar este control.
+ **Usar la automatización:** gracias a la automatización, se pueden resolver los incidentes oportunamente y a escala. AWS proporciona varios servicios para automatizar en el contexto de la estrategia de respuesta ante incidentes. Céntrese en encontrar un equilibrio adecuado entre la automatización y la intervención manual. A medida que crea su respuesta a incidentes en guías de estrategias y runbooks, automatice los pasos repetibles. Use servicios de AWS como Administrador de incidentes de AWS Systems Manager para [resolver los incidentes de TI más rápidamente](https://aws.amazon.com/blogs/aws/resolve-it-incidents-faster-with-incident-manager-a-new-capability-of-aws-systems-manager/). Use [herramientas para desarrolladores](https://aws.amazon.com/devops/) a fin de proporcionar control de versiones y automatizar [Amazon Machine Images (AMI)](https://aws.amazon.com/amis/) y los despliegues de infraestructura como código (IaC) sin intervención humana. Donde sea aplicable, automatice la detección y la evaluación de la conformidad mediante servicios administrados como Amazon GuardDuty, Amazon Inspector, AWS Security Hub CSPM, AWS Config y Amazon Macie. Optimice las capacidades de detección con machine learning como Amazon DevOps Guru para detectar problemas de patrones de funcionamiento anómalos antes de que se produzcan.
+ **Realice un análisis de la causa raíz y actuar sobre las lecciones aprendidas:** implemente mecanismos para aprovechar las lecciones aprendidas como parte de una revisión de la respuesta ante incidentes. Cuando la causa raíz de un incidente revela un defecto mayor, un fallo de diseño, una configuración errónea o la posibilidad de que se repita, se clasifica como un problema. En estos casos, analice y resuelva el problema para minimizar la interrupción de las operaciones normales.
## Recursos
**Documentos relacionados:**
+ [AWS Security Incident Response Guide (Guía de respuesta ante incidentes de seguridad de AWS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [ NIST: guía de administración de incidentes de seguridad informática ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
**Vídeos relacionados:**
+ [Automating Incident Response and Forensics in AWS (Automatización de la respuesta ante incidentes y el análisis forense en AWS) ](https://youtu.be/f_EcwmmXkXk)
+ [ DIY guide to runbooks, incident reports, and incident response (Guía paso a paso sobre runbooks, informes de incidentes y respuesta a incidentes) ](https://www.youtube.com/watch?v=E1NaYN_fJUo)
+ [ Prepare for and respond to security incidents in your AWS environment (Cómo prepararse y responder ante incidentes de seguridad en el entorno de AWS) ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**Ejemplos relacionados:**
+ [Laboratorio: Guía de estrategias de respuesta ante incidentes con Jupyter (AWS IAM)](https://www.wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
+ [ Laboratorio: Respuesta ante incidentes con la consola de AWS y la CLI ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP03: Preparar capacidades forenses
Es importante que los equipos de intervención de incidentes comprendan cuándo y cómo deben hacer uso de la investigación forense en su plan de respuesta. Su organización debe definir las pruebas que deben recopilarse y las herramientas que deben utilizarse en el proceso. Identifique y prepare las capacidades de investigación forense disponibles, como los especialistas externos, las herramientas y la automatización. Una decisión clave que debe tomar de forma anticipada es si recopilará datos de un sistema activo. Algunos datos, como el contenido de la memoria volátil o las conexiones de red activas, se perderán si el sistema se apaga o se reinicia.
El equipo de respuesta puede combinar herramientas, tales como AWS Systems Manager, Amazon EventBridge y AWS Lambda, para ejecutar automáticamente herramientas forenses en un sistema operativo y en una creación de reflejo de tráfico de VPC para obtener una captura del paquete de red y recopilar pruebas no persistentes. Lleve a cabo otras actividades, como análisis de registros o de imágenes de disco, en una cuenta de seguridad dedicada con herramientas y estaciones de trabajo forenses personalizadas a las que pueden acceder los equipos de intervención.
Envíe periódicamente registros pertinentes a un almacén de datos con alta durabilidad e integridad. Los equipos de intervención deben tener acceso a estos registros. AWS ofrece varias herramientas que pueden facilitar la investigación de registros, como, por ejemplo, Amazon Athena, Amazon OpenSearch Service (OpenSearch Service) y Amazon CloudWatch Logs Insights. Asimismo, conserve las pruebas de forma segura mediante Amazon Simple Storage Service (Amazon S3) Object Lock. Este servicio sigue el modelo WORM (escribir una vez, leer muchas veces) e impide que se eliminen o se sobrescriban objetos durante un periodo definido. Dado que las técnicas de investigación forense requieren formación especializada, puede que tenga que interactuar con especialistas externos.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Medio
## Guía para la implementación
+ Identificar capacidades forenses: investigue las capacidades de investigación forense de su organización, las herramientas disponibles y los especialistas externos.
+ [Automatización de la respuesta ante incidentes y el análisis forense ](https://youtu.be/f_EcwmmXkXk)
## Recursos
**Documentos relacionados:**
+ [Cómo automatizar la recopilación de discos forenses en AWS](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/)
# SEC10-BP04: Automatización de la capacidad de contención
Automatice la contención y la recuperación de un incidente para reducir los tiempos de respuesta y el impacto en la organización.
Una vez que haya creado y practicado los procesos y herramientas de las guías de estrategias, puede deconstruir la lógica en una solución basada en código, que numerosos equipos de intervención pueden usar como herramienta para automatizar la respuesta y eliminar la varianza o las conjeturas. Esto puede agilizar el ciclo de vida de una respuesta. El próximo objetivo es habilitar este código para que sea totalmente automatizado y que las propias alertas o eventos puedan invocarlo, en lugar de tener que recurrir a la intervención humana, para crear una respuesta basada en eventos. Estos procesos también deben añadir automáticamente datos relevantes para los sistemas de seguridad. Por ejemplo, un incidente relacionado con el tráfico de una dirección IP no deseada puede rellenar automáticamente una lista de direcciones IP bloqueadas WAF de AWS o un grupo de reglas de Network Firewall para evitar posibles actividades.
![\[AWS architecture diagram showing WAF WebACL logs processing and IP address blocking flow between accounts.\]](http://docs.aws.amazon.com/es_es/wellarchitected/2022-03-31/framework/images/aws-waf-automate-block.png)
*Figura 3: Bloqueo automatizado por parte de AWS WAF de direcciones IP malintencionadas*
Con un sistema de respuesta basado en eventos, un mecanismo de detección desencadena un mecanismo de respuesta para corregir el evento de forma automática. Puede utilizar capacidades de respuesta basadas en eventos para reducir el tiempo entre los mecanismos de detección y los de respuesta. Para crear esta arquitectura basada en eventos, puede utilizar AWS Lambda, que es un servicio de computación sin servidor que ejecuta el código en respuesta a eventos y gestiona automáticamente los recursos de computación subyacentes. Por ejemplo, supongamos que tiene una cuenta de AWS con el servicio AWS CloudTrail habilitado. Si alguna vez se llega a deshabilitar AWS CloudTrail (a través de la llamada a la API `cloudtrail:StopLogging` ), podrá utilizar Amazon EventBridge para supervisar el evento específico de `cloudtrail:StopLogging` e invocar una función de AWS Lambda para llamar a `cloudtrail:StartLogging` con el fin de reiniciar el registro.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Medio
## Guía para la implementación
Automatice la capacidad de contención.
## Recursos
**Documentos relacionados:**
+ [ Guía de respuesta ante incidentes de AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Vídeos relacionados:**
+ [Cómo prepararse y responder ante incidentes de seguridad en el entorno de AWS](https://youtu.be/8uiO0Z5meCs)
# SEC10-BP05: Aprovisionamiento previo del acceso
Verifique que ha aprovisionado previamente el acceso correcto a los equipos de intervención de incidentes en AWS para reducir el tiempo necesario de investigación hasta la recuperación.
**Patrones comunes de uso no recomendados:**
+ Uso de la cuenta raíz para la respuesta ante incidentes.
+ Alterar las cuentas de usuario existentes.
+ Manipular los permisos de IAM directamente al proporcionar un aumento puntual de los privilegios.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Medio
## Guía para la implementación
AWS recomienda reducir o eliminar la dependencia de credenciales de larga duración siempre que sea posible, en favor de credenciales temporales y mecanismos de aumento *puntual* de escalada de privilegios. Las credenciales de larga duración están expuestas a riesgos de seguridad y aumentan la carga operativa. Para la mayoría de las tareas de administración, así como para las de respuesta ante incidentes, le recomendamos que implemente la [federación de identidades](https://docs.aws.amazon.com/identity/federation/) junto con el [escalado temporal del acceso administrativo](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/). En este modelo, un usuario solicita el aumento a un nivel superior de privilegios (como un rol de respuesta ante incidentes) y, siempre que el usuario reúna los requisitos para el aumento, se envía una solicitud a un aprobador. Si la solicitud es aprobada, el usuario recibe un conjunto de [credenciales de AWS](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) temporales que puede usar para completar sus tareas. Una vez que caducan estas credenciales, el usuario debe enviar una nueva solicitud de aumento.
Recomendamos el uso del escalado temporal de privilegios en la mayoría de las situaciones de respuesta ante incidentes. La forma correcta de hacerlo es utilizar el [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) y [políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) para definir el alcance del acceso.
Hay situaciones en las que las identidades federadas no están disponibles; por ejemplo:
+ Interrupción relacionada con un proveedor de identidades (IdP) comprometido.
+ Una configuración deficiente o un error humano provocan la ruptura del sistema de administración de acceso federado.
+ Actividad maliciosa como un evento de denegación de servicio distribuido (DDoS) o un sistema no disponible.
En los casos anteriores, debe haber un acceso *inmediato* de emergencia configurado para permitir la investigación y la reparación puntual de los incidentes. También le recomendamos que utilice un [usuario de IAM con los permisos adecuados](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) para realizar tareas y acceder a los recursos de AWS. Utilice las credenciales del usuario raíz solo para [tareas que requieren el acceso del usuario raíz](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Para verificar que los equipos de intervención de incidentes disponen del nivel correcto de acceso a AWS y otros sistemas pertinentes, recomendamos el aprovisionamiento previo de cuentas de usuario exclusivas. Las cuentas de usuario requieren un acceso con privilegios y se deben controlar y supervisar de forma estricta. Las cuentas deben crearse con el menor número de privilegios requeridos para realizar las tareas necesarias y el nivel de acceso debe basarse en las guías de estrategias creadas como parte del plan de administración de incidentes.
La práctica recomendada es crear usuarios y roles personalizados y exclusivos. El hecho de escalar temporalmente el acceso de los usuarios o de los roles mediante la incorporación de políticas de IAM provoca que no esté claro qué acceso tenían los usuarios durante el incidente y se corre el riesgo de que los privilegios escalados no se revoquen.
Es importante eliminar tantas dependencias como sea posible para verificar que se puede acceder en el mayor número posible de escenarios de error. Como medida de apoyo, cree una guía de estrategias para verificar que los usuarios de respuesta ante incidentes se crean como usuarios de AWS Identity and Access Management en una cuenta de seguridad exclusiva y no se administran a través de una federación existente o una solución de inicio de sesión único (SSO). Cada miembro del equipo de intervención debe tener su propia cuenta con nombre. La configuración de la cuenta debe aplicar una [política de contraseñas seguras](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) y la autenticación multifactor (MFA). Si las guías de estrategias de respuesta ante incidentes solo requieren acceso a la Consola de administración de AWS, el usuario no debería tener configuradas las claves de acceso y se le debería prohibir explícitamente la creación de claves de acceso. Esto se puede configurar con políticas de IAM o políticas de control de servicios (SCP) como se menciona en las prácticas recomendadas de seguridad de AWS para [SCP de AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Los usuarios solo deben tener el privilegio de poder asumir roles de respuesta ante incidentes en otras cuentas.
Durante un incidente, podría ser necesario conceder acceso a otras personas internas o externas para respaldar las actividades de investigación, reparación o recuperación. En este caso, utilice el mecanismo de guía de estrategias mencionado anteriormente. Debe haber un proceso para verificar que cualquier acceso adicional se revoque inmediatamente después de que finalice el incidente.
Para verificar que el uso de los roles de respuesta ante incidentes se puede supervisar y auditar de forma adecuada, es esencial que las cuentas de usuario de IAM creadas para este fin no se compartan con otras personas y que el usuario raíz de Cuenta de AWS no se utilice a menos que [se requiera para una tarea específica](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Si el usuario raíz es necesario (por ejemplo, no está disponible el acceso de IAM a una cuenta específica), utilice un proceso aparte con una guía de estrategias disponible para verificar la disponibilidad de la contraseña y el token MFA del usuario raíz.
Para configurar las políticas de IAM de los roles de respuesta ante incidentes, utilice [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) para generar políticas basadas en los registros de AWS CloudTrail. Para ello, conceda acceso de administrador al rol de respuesta ante incidentes en una cuenta que no sea de producción y ejecute las guías de estrategias. Una vez completado, se puede crear una política que únicamente permita las acciones realizadas. Esta política se puede aplicar a los roles de respuesta ante incidentes en todas las cuentas. Es recomendable crear una política de IAM independiente para cada guía de estrategias a fin de facilitar la administración y la auditoría. Entre los ejemplos de guías de estrategias se podrían incluir planes de respuesta para ransomware, vulneraciones de datos, pérdida de acceso a la producción y otras situaciones.
Utilice las cuentas de usuario de respuesta ante incidentes para asumir los [roles de IAM de respuesta ante incidentes exclusivas en otras Cuentas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). Estos roles se deben configurar para que solo puedan asumirlos los usuarios de la cuenta de seguridad. La relación de confianza debe requerir que la entidad principal de llamada se haya autenticado mediante MFA. Los roles deben utilizar políticas de IAM de ámbito estricto para controlar el acceso. Asegúrese de que todas las solicitudes `AssumeRole` para estos roles estén registradas en CloudTrail y se haya alertado de ellas y que se registre cualquier acción realizada con estos roles.
Se recomienda que tanto las cuentas de usuario de IAM como los roles de IAM tengan nombres claros para poder encontrarlos fácilmente en los registros de CloudTrail. Un ejemplo sería asignar a las cuentas de IAM el nombre `-BREAK-GLASS` y los roles de IAM `BREAK-GLASS-ROLE`.
[CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) se utiliza para registrar la actividad de API en sus cuentas de AWS y debe utilizarse para [configurar alertas sobre el uso de los roles de respuesta ante incidentes](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/). Consulte la publicación del blog sobre la configuración de alertas cuando se utilizan claves de usuario raíz. Las instrucciones se pueden modificar para configurar la métrica [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) filtro a filtro en los eventos `AssumeRole` relacionados con el rol IAM de respuesta ante incidentes:
```
{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
```
Como es probable que los roles de respuesta ante incidentes tengan un nivel de acceso alto, es importante que estas alertas lleguen a un grupo amplio y se actúe con rapidez.
Durante un incidente, es posible que un miembro del equipo de intervención necesite acceder a sistemas que no están directamente protegidos por IAM. Pueden ser instancias de Amazon Elastic Compute Cloud, bases de datos de Amazon Relational Database Service o plataformas de software como servicio (SaaS). Se recomienda que en lugar de utilizar protocolos nativos como SSH o RDP, se use [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) para todos los accesos administrativos a las instancias de Amazon EC2. Este acceso se puede controlar mediante IAM, que es seguro y está auditado. También se podrían automatizar partes de sus guías de estrategias mediante [documentos de AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html), lo que puede reducir los errores del usuario y mejorar el tiempo de recuperación. Para el acceso a las bases de datos y a las herramientas de terceros, recomendamos almacenar las credenciales de acceso en AWS Secrets Manager y conceder el acceso a los roles de equipos de intervención ante incidentes.
Por último, la administración de las cuentas de usuario de IAM de respuesta ante incidentes debe agregarse a sus [procesos de incorporación, traslado y abandono de los empleados](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) y revisarse y probarse periódicamente para verificar que solo se permite el acceso previsto.
## Recursos
**Documentos relacionados:**
+ [Managing temporary elevated access to your AWS environment (Administrar el acceso de alto nivel temporal al entorno de AWS)](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
+ [AWS Security Incident Response Guide (Guía de respuesta ante incidentes de seguridad de AWS) ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/)
+ [Administrador de incidentes de AWS Systems Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html)
+ [Setting an account password policy for IAM users (Establecer una política de contraseñas de cuenta para los usuarios de IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [Using multi-factor authentication (MFA) in AWS (Uso de la autenticación multifactor [MFA] en AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [ Configuring Cross-Account Access with MFA (Configuración del acceso entre cuentas con MFA) ](https://aws.amazon.com/blogs/security/how-do-i-protect-cross-account-access-using-mfa-2/)
+ [ Using IAM Access Analyzer to generate IAM policies (Uso de IAM Access Analyzer para generar políticas de IAM) ](https://aws.amazon.com/blogs/security/use-iam-access-analyzer-to-generate-iam-policies-based-on-access-activity-found-in-your-organization-trail/)
+ [ Best Practices for AWS Organizations Service Control Policies in a Multi-Account Environment (Prácticas recomendadas para las políticas de control de servicios de AWS Organizations en un entorno de varias cuentas) ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [ How to Receive Notifications When Your AWS Account’s Root Access Keys Are Used (Cómo recibir notificaciones cuando se utilizan las claves de acceso raíz de su cuenta de AWS) ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ [ Create fine-grained session permissions using IAM managed policies (Crear permisos de sesión detallados mediante políticas administradas de IAM) ](https://aws.amazon.com/blogs/security/create-fine-grained-session-permissions-using-iam-managed-policies/)
**Vídeos relacionados:**
+ [ Automating Incident Response and Forensics in AWS (Automatización de la respuesta ante incidentes y el análisis forense en AWS) ](https://www.youtube.com/watch?v=f_EcwmmXkXk)
+ [DIY guide to runbooks, incident reports, and incident response (Guía paso a paso sobre runbooks, informes de incidentes y respuesta a incidentes)](https://youtu.be/E1NaYN_fJUo)
+ [ Prepare for and respond to security incidents in your AWS environment (Cómo prepararse y responder ante incidentes de seguridad en el entorno de AWS) ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**Ejemplos relacionados:**
+ [ Laboratorio: Configuración de la cuenta y usuario raíz de AWS](https://www.wellarchitectedlabs.com/security/300_labs/300_incident_response_playbook_with_jupyter-aws_iam/)
+ [ Laboratorio: Respuesta ante incidentes con la consola de AWS y la CLI ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP06: Implementar previamente herramientas
Asegúrese de que se hayan implementado previamente las herramientas correctas en AWS para que el personal de seguridad pueda reducir el tiempo de investigación hasta la recuperación.
Con el fin de automatizar las funciones de operaciones e ingeniería de seguridad, puede utilizar un conjunto completo de API y herramientas de AWS. Puede automatizar totalmente las capacidades de administración de identidades, seguridad de red, protección de datos y supervisión, y ofrecerlas con métodos de desarrollo de software populares que ya tenga establecidos. Al crear procesos de automatización de seguridad, su sistema podrá supervisar, revisar e iniciar una respuesta en lugar de tener a empleados supervisando el nivel de seguridad y reaccionando manualmente ante eventos. Una forma eficaz de proporcionar automáticamente datos de registros que se pueden buscar y relevantes en los servicios de AWS a los equipos de intervención de incidentes es habilitar [Amazon Detective](https://aws.amazon.com/detective/).
Si los equipos de intervención de incidentes siguen respondiendo a alertas de la misma forma, corren el riesgo de sufrir fatiga causada por un número excesivo de alertas. Con el paso del tiempo, el equipo puede llegar a no reaccionar ante las alertas y puede incluso cometer errores durante la gestión de situaciones habituales o pasar por alto alertas inusuales. La automatización ayuda a evitar este problema mediante el uso de funciones que procesan alertas repetitivas y habituales, dejando a las personas que gestionen incidentes únicos y delicados. La integración de sistemas de detección de anomalías, como, por ejemplo, Amazon GuardDuty, AWS CloudTrail Insights y Amazon CloudWatch Anomaly Detection, puede reducir la carga de alertas comunes basadas en umbrales.
Puede mejorar los procesos manuales mediante la automatización en forma programática de los pasos del proceso. Después de definir el patrón de solución de un evento, puede descomponer dicho patrón en lógica procesable y escribir el código para llevar a cabo dicha lógica. A continuación, los equipos de intervención pueden ejecutar dicho código para solucionar el problema. Con el paso del tiempo, puede automatizar cada vez más pasos y, en última instancia, gestionar automáticamente todas las clases de incidentes comunes.
En el caso de las herramientas que se ejecutan en el sistema operativo de la instancia de Amazon Elastic Compute Cloud (Amazon EC2), debe realizar una evaluación con Run Command de AWS Systems Manager, lo que le permite administrar de forma remota y segura instancias con un agente que instale en el sistema operativo de la instancia de Amazon EC2. Requiere el uso de Systems Manager Agent (SSM Agent), que está instalado de forma predeterminada en numerosas imágenes de máquina de Amazon (AMI). No obstante, tenga en cuenta que una vez que una instancia se haya visto afectada, no se deben considerar fiables las respuestas de las herramientas o de los agentes que se ejecuten en ella.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
+ Implementar previamente las herramientas: asegúrese de que se hayan implementado previamente las herramientas correctas en AWS para que el personal de seguridad pueda dar una respuesta adecuada a un incidente.
+ [Laboratorio: Respuesta ante incidentes con Consola de administración de AWS y CLI ](https://wellarchitectedlabs.com/Security/300_Incident_Response_with_AWS_Console_and_CLI/README.html)
+ [ Guía de estrategias de respuesta ante incidentes con Jupyter (AWS IAM) ](https://wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
+ [ Automatización de seguridad de AWS](https://github.com/awslabs/aws-security-automation)
+ Implementar el etiquetado de recursos: etiquete recursos con información, como un código para el recurso que se encuentra en proceso de investigación, para que pueda identificar recursos durante un incidente.
+ [ Estrategias de etiquetado de AWS](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)
## Recursos
**Documentos relacionados:**
+ [ Guía de respuesta ante incidentes de AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Vídeos relacionados:**
+ [ Guía autogestionada para runbooks, informes de incidentes y repuesta ante incidentes ](https://youtu.be/E1NaYN_fJUo)
# SEC10-BP07 Ejecutar los días de juego
Los días de juego, también conocidos como simulaciones o ejercicios, son eventos internos que proporcionan una oportunidad estructurada para practicar sus planes y procedimientos de administración de incidentes durante una situación realista. Estos eventos deben ejercitar a los intervinientes con las mismas herramientas y técnicas que se utilizarían en una situación real, incluso con la imitación de entornos reales. Los días de juego consisten fundamentalmente en estar preparado y mejorar de forma iterativa su capacidad de respuesta. Algunos de los motivos por los que puede encontrar valor en la realización de las actividades de los días de juego son:
+ Validación de la preparación
+ Desarrollo de la confianza: aprender de las simulaciones y formar al personal
+ Cumplimiento de las obligaciones de conformidad o contractuales
+ Generación de artefactos para la acreditación
+ Agilidad: mejora incremental
+ Aumento de la velocidad y mejora de las herramientas
+ Perfeccionamiento de la comunicación y el traslado a una instancia superior
+ Desarrollo de la comodidad con lo raro y lo inesperado
Por estos motivos, el valor derivado de la participación en una actividad de simulación aumenta la eficacia de una organización durante los eventos estresantes. El desarrollo de una actividad de simulación que sea a la vez realista y beneficiosa puede ser un ejercicio difícil. Aunque probar sus procedimientos o la automatización que gestiona eventos bien entendidos tiene ciertas ventajas, es igual de valioso participar en actividades de [simulaciones de respuesta a incidencias de seguridad (SIRS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/security-incident-response-simulations.html) creativas para probarse ante lo inesperado y mejorar continuamente.
Cree simulaciones personalizadas adaptadas a su entorno, equipo y herramientas. Encuentre un problema y diseñe su simulación en torno a él. Puede tratarse de algo como una credencial filtrada, un servidor que se comunica con sistemas no deseados o una configuración errónea que da lugar a una exposición no autorizada. Designe a ingenieros que conozcan su organización para crear la situación y a otro grupo para que participe. La situación debe ser lo suficientemente realista y desafiante como para que sea valiosa. Debe incluir la oportunidad de ponerse manos a la obra con el registro, las notificaciones, los traslados a una instancia superior y la ejecución de runbooks o la automatización. Durante la simulación, los intervinientes deben ejercitar sus competencias técnicas y organizativas y los líderes deben participar para desarrollar sus competencias de administración de incidentes. Al final de la simulación, celebre los esfuerzos del equipo y busque formas de iterar, repetir y ampliar en otras simulaciones.
[AWS ha creado plantillas de runbook de respuesta a incidentes](https://github.com/aws-samples/aws-incident-response-playbooks) que puede utilizar no solo para preparar sus acciones de respuesta, sino también como base para una simulación. A la hora de planificar, una simulación puede dividirse en cinco fases.
**Obtención de pruebas: **en esta fase, un equipo recibirá alertas a través de diversos medios, como un sistema interno de tickets, alertas de herramientas de supervisión, denuncias anónimas o incluso noticias públicas. Los equipos comienzan a revisar los registros de la infraestructura y de las aplicaciones para determinar el origen del peligro. Este paso también debería incluir los traslados internos a instancias superiores y el liderazgo de incidentes. Una vez identificado, los equipos pasan a contener el incidente
**Contención del incidente: **los equipos habrán determinado que ha habido un incidente y establecido el origen del peligro. Los equipos ahora deben tomar medidas para contenerlo, por ejemplo, mediante la desactivación de las credenciales en peligro, el aislamiento de un recurso de computación o la revocación del permiso de un rol.
**Erradicación del incidente: **ahora que han contenido el incidente, los equipos trabajarán para mitigar cualquier vulnerabilidad en las aplicaciones o en las configuraciones de la infraestructura que han sido susceptibles de estar en peligro. Esto podría incluir la rotación de todas las credenciales utilizadas para una carga de trabajo, la modificación de las listas de control de acceso (ACL) o el cambio de las configuraciones de red.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana
## Guía para la implementación
+ Ejecutar [días de juego](https://wa.aws.amazon.com/wat.concept.gameday.en.html): ejecute eventos [de respuesta a](https://wa.aws.amazon.com/wat.concept.incident.en.html) incidentes [simulados (días de juego)](https://wa.aws.amazon.com/wat.concept.event.en.html) para diferentes amenazas que implican al personal clave y a los directivos.
+ Capture las lecciones aprendidas: las lecciones aprendidas al ejecutar [días de juego](https://wa.aws.amazon.com/wat.concept.gameday.en.html) debe formar parte de un bucle de comentarios para mejorar sus procesos.
## Recursos
**Documentos relacionados:**
+ [ Guía de respuesta ante incidentes de AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS Elastic Disaster Recovery](https://aws.amazon.com/cloudendure-disaster-recovery/)
**Vídeos relacionados:**
+ [ Guía autogestionada para runbooks, informes de incidentes y repuesta ante incidentes ](https://youtu.be/E1NaYN_fJUo)