implementación de referencia
Prácticas recomendadas de seguridad básica de AWS y PCI DSS en AWS
Implemente flujos de trabajo automatizados para corregir las desviaciones de las prácticas recomendadas de seguridad básica de AWS y PCI DSS
Esta solución utiliza las plantillas de AWS CloudFormation para implementar flujos de trabajo automatizados con el fin de corregir las desviaciones del estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) y las prácticas recomendadas de seguridad básica de AWS (AWS FSBP).
Con esta implementación, AWS Security Hub evalúa continuamente sus recursos de AWS frente a los controles de PCI DSS y AWS FSBP. Las desviaciones de los controles invocan un proceso automatizado de corrección mediante reglas de AWS CloudWatch y runbooks de AWS Systems Manager. Security Hub procesa los hallazgos de verificación de seguridad y los prioriza mediante AWS Security Finding Format (ASFF).
AWS desarrolló esta solución.
-
Lo que creará
-
Cómo implementar
-
Costos y licencias
-
Lo que creará
-
Gracias a esta solución, es posible configurar lo siguiente:
- Security Hub para recopilar los resultados de las evaluaciones automatizadas y continuas de los controles de PCI DSS y AWS FSBP en comparación con sus recursos de AWS. Las acciones personalizadas en Security Hub envían los hallazgos a CloudWatch como eventos personalizados.*
- CloudWatch para hacer coincidir un evento personalizado de Security Hub con una regla que desencadene una función de AWS Lambda.
- Funciones de AWS Lambda para invocar el runbook de Systems Manager apropiado para corregir un hallazgo de una desviación de los controles de PCI DSS o AWS FSBP.
- Systems Manager para realizar las acciones de corrección automatizadas definidas en los runbooks.
*El estándar de conformidad de PCI DSS en Security Hub está diseñado para ayudarlo con las actividades continuas de seguridad de PCI DSS. Los controles no pueden verificar si sus sistemas cumplen con la norma de PCI DSS. No pueden sustituir a los esfuerzos internos ni garantizar que el usuario apruebe una evaluación de PCI DSS. Security Hub no verifica los controles de procedimiento que requieren una recopilación manual de pruebas.
Está disponible una guía específica sobre la creación y el mantenimiento de aplicaciones que cumplen con el PCI DSS en AWS Security Assurance Services (Servicios de garantía de la seguridad de AWS).
-
Cómo implementar
-
Para implementar esta solución, siga las instrucciones que aparecen en la guía de implementación, que incluye estos pasos.
- Si aún no tiene una cuenta de AWS, regístrese en https://aws.amazon.com e inicie sesión.
- Lance la solución. La pila tarda aproximadamente 20 minutos en implementarse. Antes de crear la pila, elija la región de AWS desde la barra de herramientas superior. Seleccione una de las siguientes opciones:
- Pruebe la implementación.
Amazon puede compartir la información de implementación de los usuarios con el socio de AWS que colaboró con AWS en esta solución.
-
Costos y licencias
-
Usted es responsable del costo de los servicios de AWS, así como de las licencias de terceros que se utilicen, mientras se ejecuta esta solución. No se aplican cargos adicionales por el uso de la solución.
En esta solución, se incluyen parámetros de configuración que puede personalizar. Algunas de estas configuraciones, como el tipo de instancia, afectan al costo del despliegue. Para hacer estimaciones de costos, consulte las páginas de precios de cada servicio de AWS que utilice. Los precios están sujetos a cambios.
Sugerencia: Después de implementar una solución, cree Informes de costo y uso de AWS para realizar el seguimiento de los costos asociados. Dichos informes envían métricas de facturación a un bucket de Amazon Simple Storage Service (Amazon S3) en su cuenta. Suministran estimaciones de costos en función del uso de cada mes y agregan los datos a finales del mes. Para obtener más información, consulte ¿Qué son los informes de costo y uso de AWS?
