Publicado en: Apr 8, 2021

AWS Control Tower presenta el lanzamiento de cuatro medidas de seguridad para el archivo de registros de S3 preventivas, obligatorias y menos restrictivas. Estas cambian las recomendaciones de las anteriores cuatro medidas de seguridad preventivas y más restrictivas del archivo de registros de S3 de obligatorias a opcionales. Con estos cambios en las medidas de seguridad, ahora puede separar la gobernanza del archivo de registros de S3 para los recursos creados por AWS Control Tower para la gobernanza de los recursos de S3 que crea.  

Las nuevas medidas de seguridad y los ajustes de las recomendaciones de las medidas están disponibles cuando configura una nueva zona de aterrizaje o actualiza la versión de la zona de aterrizaje de AWS Control Tower. Los entornos actuales de AWS Control Tower tendrán habilitadas automáticamente las medidas de seguridad opcionales de forma predeterminada para tener una constancia en el entorno. Sin embargo, dado que las medidas de seguridad ahora son opcionales, las puede deshabilitar. Los clientes que no actualicen su zona de aterrizaje, no podrán deshabilitar las medidas de seguridad opcionales hasta que realicen una actualización de la zona de aterrizaje. Para obtener más información, consulte la página de actualizaciones de zona de aterrizaje de AWS Control Tower.

Nuevas medidas de seguridad preventivas obligatorias:

  • Prohibición de cambios a la configuración de cifrado para los buckets de S3 creados por AWS Control Tower en el archivo de registros
  • Prohibición de cambios en la configuración de registros para los buckets de S3 creados por AWS Control Tower en el archivo de registros
  • Prohibición de cambios en la política de buckets para los buckets de S3 creados por AWS Control Tower en el archivo de registros
  • Prohibición de cambios en la configuración del ciclo de vida para los buckets de S3 creados por AWS Control Tower en el archivo de registros

Medidas de seguridad actuales con cambio en las recomendaciones de obligatorias a opcionales:

  • Prohibición de cambios en la configuración de cifrado para todos los buckets de Amazon S3 [Anteriormente: Habilitación del cifrado en reposo para el archivo de registros]
  • Prohibición de cambios en la configuración de registros para todos los buckets de Amazon S3 [Anteriormente: Habilitación del registro de acceso para el archivo de registros]
  • Prohibición de cambios en la política de bucket para todos los buckets de Amazon S3 [Anteriormente: Prohibición de cambios en la política del archivo de registros]
  • Prohibición de cambios en la configuración del ciclo de vida para todos los buckets de Amazon S3 [Anteriormente: Configuración de una política de retención para el archivo de registros]

AWS Control Tower también lanza actualizaciones para los proyectos en los que las solicitudes de bucket de S3 deben utilizar SSL y, de forma predeterminada, AWS Control Tower habilitará la configuración “Bloqueo de acceso público” para todos los buckets del entorno de AWS Control Tower. Estos cambios logran que AWS Control Tower se alinee con las últimas recomendaciones de las Prácticas recomendadas de seguridad básica para estos temas. Si en la actualidad no utiliza SSL para las solicitudes de bucket de S3, debería cambiar su protocolo para utilizar TLS/SSL a fin de prevenir interrupciones en la comunicación.

Para obtener una lista completa de las medidas de seguridad, consulte la Referencia de medidas de seguridad: AWS Control Tower. Para obtener más información, visite la página de inicio de AWS Control Tower o consulte la Guía del usuario de Control Tower.  

También puede visitar la página web del producto de AWS Control Tower o visitar YouTube para ver este video sobre cómo comenzar con AWS Control Tower para AWS Organizations.