Blog de Amazon Web Services (AWS)

Implementación de una estrategia de detección de eventos de seguridad con las prácticas recomendadas de seguridad fundacional de AWS, el nuevo estándar para AWS Security Hub

Por Bruno Silveira, Arquitecto de Soluciones para Socios ISV, Sector Público de Brasil
Daniel García, Arquitecto Principal de Soluciones de Seguridad, Equipo de Especialistas en LATAM
Wesley Rodrigues, Solutions Architect, Education, Brazil Public Sector

 

La seguridad es nuestra principal prioridad y, de acuerdo con el modelo de responsabilidad compartida, AWS es responsable de la seguridad en la nube y usted, nuestro cliente, es responsable de la seguridad en la nube . En AWS Artifacts puede tener acceso bajo demanda a los informes de seguridad y cumplimiento de AWS. Cuando se trata de la responsabilidad de nuestros clientes, hay una cartera de servicios de seguridad de AWS para que nuestros clientes protejan sus cargas de trabajo y aplicaciones en la nube, así como más de 1.000 soluciones de seguridad de socios de AWS disponibles en AWS Marketplace.

Clasificamos nuestros servicios de seguridad en cinco categorías: Control de identidad y acceso, descubrimiento, protección de infraestructura, protección de datos y respuesta ante incidentes. Entre ellos, la categoría Discovery desempeña un papel clave al permitir que los clientes identifiquen el estado de cumplimiento de las normas de seguridad y normativas en sus entornos en AWS.

Los servicios de detección le permiten identificar posibles configuraciones de seguridad incorrectas, amenazas o comportamientos inesperados. Son una parte esencial del ciclo de vida de la seguridad y se pueden utilizar para respaldar un proceso de calidad, una obligación legal o de cumplimiento, e identificar amenazas y esfuerzos de respuesta ante incidentes. Debe revisar periódicamente los mecanismos de detección relacionados con sus cargas de trabajo para asegurarse de que cumple con las políticas y requisitos internos y externos.

Este artículo le mostrará cómo el estándar AWS Foundational Security Best Practices de AWS Security Hub puede ayudarle a evaluar continuamente todas sus cuentas y cargas de trabajo de AWS para identificar rápidamente los desvíos respecto de las prácticas recomendadas de seguridad.

 

¿Qué es AWS Security Hub?

AWS Security Hub tiene características presentes en productos como Cloud Security Posture Management (CSPM), Security Information and Event Management (SIEM), Security Orchestration y Automatización y Respuesta (SOAR). El uso de AWS Security Hub puede aportar una gran agilidad y escalabilidad a la detección y el manejo de eventos de seguridad, ya que integra una funcionalidad que anteriormente requería la implementación de varios productos, adaptándolos a su realidad de seguridad y cumplimiento normativo.

 

¿Cómo funciona AWS Security Hub?

AWS Security Hub ofrece una visión completa de las alertas de seguridad de alta prioridad y el estado de cumplimiento en todas las cuentas de AWS. Con Security Hub, dispone de una única ubicación que agrega, organiza y prioriza alertas de seguridad o descubrimientos de varios servicios de AWS, como Amazon GuardDutyAmazon InspectorAmazon Macie y IAM Access Analyzer, así como soluciones de socios de AWS. Los descubrimientos se resumen visualmente en paneles integrados con tablas y gráficos procesables. También puede supervisar continuamente su entorno mediante comprobaciones automatizadas de conformidad basadas en las prácticas recomendadas de AWS y los estándares del sector adoptados por su organización.

 

Figura 1: Cómo funciona AWS Security Hub

 

Casos de uso de AWS Security Hub

En la arquitectura siguiente, le mostraremos cómo enviar notificaciones para los hallazgos de gravedad de alto nivel recibidos a través de AWS Security Hub. Para ello, utilizaremos los servicios de Amazon EventBridge para recibir notificaciones de nuevos eventos, filtrar eventos de alta gravedad y activar notificaciones a través de Amazon Simple Notification Services (SNS). En nuestro caso de uso, utilizaremos SNS solo para notificar al equipo de respuesta a incidentes por correo electrónico; sin embargo, el servicio también le permite activar varios servicios que podrían utilizarse para corregir automáticamente el incidente, como AWS Lambda o AWS Step Functions.

 

Figura 2: Flujo de notificación de alerta de alta criticidad

 

Veamos en detalle cómo construir esta integración:

1. En arquitecturas orientadas a eventos, usar temas como canales para impulsar la comunicación es una manera sencilla de centralizar eventos y notificar a cualquier persona que deba estar al tanto del evento. Para ello, crearemos un tópico en Amazon Simple Notification Service, que se utilizará más adelante en AWS Security Hub:

 

 

2. Cuando creamos un tópico, podemos definir correos electrónicos que serán notificados cuando se reciba un nuevo evento. Además del correo electrónico, también puede configurar SMS y push notifications, lo que convierte a Amazon SNS en una forma eficiente de supervisar los eventos configurados. Introduzca su correo electrónico como se muestra en la imagen. A continuación, recuerde iniciar sesión en su correo electrónico y confirmar su suscripción al tema:

 

 

3. Con el tópico listo y firmado, podemos proceder a crear la regla en Amazon EventBridge. Después de abrir Amazon EventBridge en la consola, haga clic en Crear regla, proporcione un nombre para la regla y seleccione Custom Default en la opción Definir valor predeterminado:

 

 

4. Los valores predeterminados son definiciones de eventos, escritas en JSON. En el ejemplo siguiente se define un patrón que activa el desencadenador de reglas con eventos de Security Hub con gravedad alta y crítica:

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      "Severity": {
        "Label": [
          "HIGH",
          "CRITICAL"
        ]
      }
    }
  }
}

5. El siguiente paso para crear reglas de Amazon EventBridge es definir el tópico de destino para los nuevos eventos reconocidos. En este paso, seleccione el tópico creado anteriormente:

 

 

  1. Con la configuración mostrada anteriormente, siempre que AWS Security Hub detecte un evento con gravedad alta o crítica, Amazon EventBridge activará la regla enviando una copia del evento al correo electrónico registrado en el tema de Amazon SNS.

Ahora le mostraremos cómo configurar AWS Security Hub para supervisar los eventos de seguridad.

 

Prácticas recomendadas de seguridad fundacional de AWS (FSBP)

El estándar AWS Foundational Security Best Practices es un conjunto de comprobaciones de seguridad automatizadas que detectan cuando las cuentas de AWS y los recursos implementados no se alinean con las prácticas recomendadas de seguridad. Los expertos en seguridad de AWS establecen el valor predeterminado. Este conjunto de controles ayuda a mejorar su postura de seguridad en AWS y cubre los servicios de AWS más populares y fundamentales.

 

Figura 3: Puntuación de los estándares de AWS Security Hub

 

¿Cómo habilito FSBP?

Cuando se conecte a AWS Security a través de AWS Management Console, vaya a Security Standards y haga clic en el botón Habilitar en el estándar AWS Basic Security Best Practices estándar, como se muestra en la siguiente figura:

 

Figura 4: Habilitación del estándar de prácticas recomendadas de seguridad fundacional de AWS

 

Panel de control FSBP

Cuando habilita el patrón FSBP, aparecerá el panel de control que muestra todos los controles que habilita la opción predeterminada, y puede deshabilitar los controles que no tienen sentido para su escenario.

Nota: AWS recomienda encarecidamente que los clientes utilicen tantos controles como sea posible de los estándares de AWS Security Hub.

 

Figura 5: Ejemplo de panel de prácticas recomendadas de seguridad fundacional de AWS

 

Ejemplos de controles FSBP

FSBP tiene más de 30 controles que ayudan a aumentar la seguridad de su entorno de AWS. Entre ellos, enumeramos algunos ejemplos:

  • Los certificados importados de AWS Certificate Manager deben renovarse después de un período de tiempo especificado: Este control verifica que los certificados ACM de su cuenta estén marcados para caducar en 30 días. Verifica los certificados importados y los certificados proporcionados por AWS Certificate Manager.
  • Las URLs del repositorio de origen de CodeBuild GitHub o Bitbucket deben usar OAuth: Este control comprueba si la URL del repositorio de origen de GitHub o Bitbucket contiene tokens de acceso personal o un nombre de usuario y contraseña.
  • Los snapshots de Amazon EBS no deben ser públicos: Este control comprueba que los snapshots de Amazon Elastic Block Store no son públicos, según lo determinado por la capacidad de ser restaurados por cualquier persona.
  • Los volúmenes de EBS conectados deben cifrarse en reposo: Este control comprueba que los volúmenes de EBS que se encuentran en un estado conectado están cifrados. Para pasar esta comprobación, los volúmenes de EBS deben estar en uso y cifrados. Si el volumen de EBS no está conectado, no está sujeto a esta comprobación.
  • Las directivas de IAM no deben permitir privilegios administrativos completos ‘*’: Este control comprueba si la versión predeterminada de las directivas de IAM (también conocidas como directivas administradas por el cliente) tiene acceso de administrador que incluye una instrucción con «Efecto»: «Permitir» con «Acción»: «*» sobre «Recurso»: «*».
  • Las instancias de RDS deben prohibir el acceso público: Este control verifica que las instancias de Amazon RDS sean accesibles públicamente evaluando el campo PubliclyAccessible en el elemento de configuración de instancia.

Para ver la lista completa y los detalles de cómo funcionan, tanto los controles como la creación de correcciones, visite este enlace.

 

Finalización y próximos pasos

Este blog le mostró cómo empezar a utilizar AWS Security Hub con el estándar AWS Foundational Security Best Practices estándar para automatizar la verificación de seguridad de muchas maneras, siguiendo las prácticas recomendadas creadas por los expertos en seguridad de AWS. Pero este es sólo el punto de partida.

Pruebe AWS Security Hub de forma gratuita durante 30 días visitando https://console.aws.amazon.com/securityhub/ .

Consulte la red de socios habilitados para respaldar su implementación de seguridad de AWS en https://aws.amazon.com/security-hub/partners/ .

 

Este artículo fue traducido del Blog de AWS en Portugués.

 

Sobre los autores

Bruno Silveira, arquitecto de soluciones de AWS en el equipo del sector público centrado en los socios ISV. Con una trayectoria previa en instituciones como Hepta Tecnologia, Caixa, Itaipú Binacional, Parque Tecnológico Itaipú, Ministerio de Minas y Energía y Ministerio de Cultura, Bruno está entusiasmado con prácticas ágiles como Lean y Scrum y disfruta de un buen rock’n roll con una buena cerveza.

 

 

 

Daniel García es un experto en seguridad de AWS con más de 20 años de experiencia en seguridad y tecnología de la información. Trabaja estrechamente con clientes de Brasil y Latinoamérica en la definición e implementación de sus viajes de seguridad en la nube.

 

 

 

 

Wesley Rodrigues es arquitecto de soluciones sénior de AWS con un enfoque en los clientes de educación. Ya sea ayudando a mejorar el rendimiento de los portales, mejorando las prácticas de datos a través de bases de datos administradas y análisis, promoviendo la investigación a través del aprendizaje automático o mejorando la supervisión remota con Internet de las cosas (IoT), su enfoque está en ayudar a que el mundo sea un lugar mejor para que las personas puedan en vivo.