UNIVERSIDAD UTP

SEGURIDAD INFORMATICA
LABORATORIO 1

2022-01-01

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

 Tabla de contenidos

OBJETIVO DEL LABORATORIO. ......................................................................................................................... 3

ARQUITECTURA DE REFERENCIA AWS -SRA ................................................................................................ 3
Org Management account ........................................................................................................................................... 6
Security OU – Security Tooling account.................................................................................................................. 10
Security OU – Log Archive account ......................................................................................................................... 21
Infrastructure OU – Network account..................................................................................................................... 24
Infrastructure OU – Shared Services account ........................................................................................................ 31
Workloads OU – Application account ..................................................................................................................... 34

Información del documento

Nombre del Seguridad Informática
proyecto
Preparado Ing. Giovanni Barrero Versión del documento 0.1
por No:
Título: Manual Laboratorio 1. Fecha de la versión del 01/01/2022
documento:
Revisado Fecha de revisión:
por:

Lista de distribución
De Fecha Teléfono/Fax/Email

Para Acción* Fecha Teléfono/Fax/Email

vencimient
o

* Acciones: Aprobar, Revisar, Informar, Archivar, Acción Requerida, Atendido Reunión,

Otro (por favor especifique)

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Historia de versión del documento
Fecha de
Nro. Versión Revisado
versión por Descripción Nombre de archivo

OBJETIVO DEL LABORATORIO.

El objetivo de este laboratorio es el de desarrollar habilidades en el análisis de requerimientos

de seguridad y diseño de arquitectura de sistemas con componentes de seguridad para
soluciones cloud,se estudiara la arquitectura de seguridad de AWSy sus componentes para
crear diseños aplicados a las empresas caso del trabajo final.

ARQUITECTURA DE REFERENCIA AWS -SRA

El siguiente diagrama ilustra el SRA de AWS. Este diagrama arquitectónico reúne todos los
servicios relacionados con la seguridad de AWS. Se basa en una arquitectura web simple de
tres niveles que puede caber en una sola página. En tal carga de trabajo, hay un nivel web a
través del cual los usuarios se conectan e interactúan con el nivel de la aplicación, que maneja
la lógica comercial real de la aplicación: toma entradas del usuario, realiza algunos cálculos y
genera resultados. El nivel de aplicación almacena y recupera información del nivel de datos. El
diseño es intencionalmente modular y proporciona la abstracción de alto nivel para muchas
aplicaciones web modernas.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Msc.Ing.Giovanni Barrero Ortiz - [email protected]
Para esta arquitectura de referencia, la aplicación web real y el nivel de datos se representan
deliberadamente de la manera más simple posible, a través de instancias de Amazon Elastic
Compute Cloud (Amazon EC2) y una base de datos de Amazon Aurora, respectivamente. La
mayoría de los diagramas de arquitectura se enfocan y profundizan en los niveles web, de
aplicaciones y de datos. Para facilitar la lectura, a menudo omiten los controles de seguridad.
Este diagrama invierte ese énfasis para mostrar la seguridad siempre que sea posible y
mantiene la aplicación y los niveles de datos tan simples como sea necesario para mostrar las
funciones de seguridad de manera significativa.

AWS SRA contiene la mayoría de los servicios relacionados con la seguridad de AWS que
generalmente estaban disponibles en el momento de la publicación. (Consulte Historial de
documentos). No todas las cargas de trabajo o entornos necesitan implementar todos los
servicios de seguridad, pero nuestro objetivo es proporcionar una referencia para todas las
opciones posibles, incluidas las descripciones de cómo estos servicios encajan entre sí en la
arquitectura.

Las siguientes secciones recorren cada unidad organizativa y cuenta para comprender sus
objetivos y los servicios de seguridad de AWS individuales asociados con ella. Para cada
elemento (normalmente un servicio de AWS), este documento proporciona la siguiente
información:

Breve descripción general del elemento y su propósito de seguridad en AWS SRA. Para
obtener descripciones más detalladas e información técnica sobre servicios individuales,
consulte el Apéndice.

Ubicación recomendada para habilitar y administrar el servicio de la manera más efectiva. Esto
se captura en los diagramas de arquitectura individuales para cada cuenta y unidad
organizativa.

Enlaces de configuración, administración y uso compartido de datos a otros servicios de

seguridad. ¿De qué manera este servicio se basa en otros servicios de seguridad o los
respalda?

Consideraciones de diseño. Primero, el documento destaca características o configuraciones

opcionales que tienen importantes implicaciones de seguridad. En segundo lugar, donde la
experiencia de nuestros equipos incluye variaciones comunes en las recomendaciones que
hacemos, generalmente como resultado de requisitos o restricciones alternativos, el documento
describe esas opciones.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Org Management account

El siguiente diagrama ilustra los servicios de seguridad de AWS que están configurados en la
cuenta de administración de la organización.

Las secciones Uso de AWS Organizations para la seguridad y La cuenta de administración, el

acceso de confianza y los administradores delegados anteriormente en esta guía analizaron en
profundidad el propósito y los objetivos de seguridad de la cuenta de administración de la
organización. Debe seguir las mejores prácticas de seguridad para su cuenta de administración
de la organización. Estos incluyen el uso de una dirección de correo electrónico administrada
por su empresa, el mantenimiento de la información de contacto administrativa y de seguridad
correcta (como adjuntar un número de teléfono a la cuenta en caso de que AWS necesite
comunicarse con el propietario de la cuenta), la habilitación de múltiples factores. autenticación
(MFA) para el usuario raíz y revisar regularmente quién tiene acceso a la cuenta de
administración de la organización. Los servicios implementados en la cuenta de administración
de la organización deben configurarse con roles, políticas de confianza y otros permisos
apropiados para que los administradores de esos servicios (que deben acceder a ellos en la
cuenta de administración de la organización) tampoco puedan acceder de manera inapropiada
a otros servicios.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

 Service control policies
Aplique políticas de control de servicios (SCP) en la cuenta de administración de la
organización para garantizar que las cuentas de miembros de AWS se mantengan
dentro de su estrategia de gobierno de cuentas y pautas de control de acceso. Los SCP
no otorgan ningún permiso. En su lugar, las SCP implementadas en la cuenta de
administración de la organización especifican los permisos máximos para esta
organización de AWS. Se implementan SCP adicionales para cada unidad organizativa
a fin de establecer medidas de protección más específicas para cada tipo de cuenta.
Obtenga más información sobre las SCP en la sección Uso de AWS Organizations para
la seguridad anteriormente en esta referencia.

AWS CloudTrail
AWS CloudTrail es un servicio que admite la gobernanza, el cumplimiento, la auditoría
operativa y la auditoría de riesgos de su cuenta de AWS. Con CloudTrail, puede
registrar, monitorear continuamente y conservar la actividad de la cuenta relacionada
con las acciones en su infraestructura de AWS. CloudTrail está integrado con AWS
Organizations, y esa integración se puede utilizar para crear un registro de seguimiento
único que registra todos los eventos para todas las cuentas en la organización de AWS.
Esto se conoce como registro de organización. Cuando crea un registro de
organización, se crea un registro con el nombre que especifique en cada cuenta de
AWS que pertenece a su organización de AWS. El seguimiento registra la actividad de
todas las cuentas de la organización de AWS y almacena los registros en un solo
depósito de S3. Todas las cuentas de la organización de AWS pueden ver el
seguimiento de la organización en su lista de seguimientos, pero las cuentas de
miembros de AWS tienen acceso limitado a este seguimiento. Además, de forma
predeterminada, solo la cuenta de administración de la organización tiene acceso al
depósito de S3. Para obtener más información sobre estas protecciones, consulte la
sección Amazon S3 como almacén de registros central. Para obtener más prácticas
recomendadas de seguridad, consulte la documentación de AWS CloudTrail.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

 AWS SSO
AWS Single Sign-On (AWS SSO) sirve como su fuente de identidad y permite la
federación de varias cuentas en su organización de AWS. Debe confiar en un proveedor
de identidades que le permita administrar las identidades en un lugar centralizado. Esto
facilita la administración del acceso a múltiples aplicaciones y servicios, ya que está
creando, administrando y revocando el acceso desde una sola ubicación. Por ejemplo,
si alguien deja su equipo, puede revocar su acceso a todas las aplicaciones y servicios
(incluidas las cuentas de AWS) desde una ubicación. Esto reduce la necesidad de
múltiples credenciales y brinda la oportunidad de integrarse con sus procesos de
recursos humanos (HR).
Puede utilizar AWS SSO para asignar rápida y fácilmente el acceso de sus empleados a
las cuentas de AWS que se administran con AWS Organizations, aplicaciones
comerciales en la nube y aplicaciones personalizadas que admiten el Lenguaje de
marcado de aserción de seguridad (SAML) 2.0. AWS SSO se integra de forma nativa
con AWS Organizations y está habilitado en la cuenta de administración de la
organización. Las cuentas se muestran por unidad organizativa en la consola de AWS
SSO. Esto le permite descubrir rápidamente sus cuentas de AWS, implementar
conjuntos comunes de permisos y administrar el acceso desde una ubicación central.

IAM access advisor

El asesor de acceso de IAM proporciona datos de trazabilidad en forma de información
del último acceso al servicio para sus cuentas y unidades organizativas de AWS. Utilice
este control de detección para contribuir a una estrategia de privilegios mínimos. Para
las entidades principales de IAM, puede ver dos tipos de información a la que se
accedió por última vez: información de servicio de AWS permitida e información de
acción permitida. La información incluye la fecha y la hora en que se realizó el intento.
Desde la cuenta de administración de la organización, también puede ver los datos a
los que se accedió por última vez al servicio para la cuenta de administración de la
organización, la unidad organizativa, la cuenta de miembro o la política de IAM en su
organización de AWS. Un informe programático para una entidad organizativa de AWS
incluye una lista de servicios permitidos por cualquier SCP que se aplique a la entidad.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

La información a la que se accedió por última vez proporciona información sobre el uso
real del servicio (consulte los escenarios de ejemplo), por lo que puede reducir los
permisos de IAM solo a los servicios que se utilizan realmente.

AWS Systems Manager

AWS Systems Manager Quick Setup y Systems Manager Explorer admiten
organizaciones de AWS y funcionan desde la cuenta de administración de la
organización.
La configuración rápida es una función de automatización de Systems Manager.
Permite que la cuenta de administración de la organización defina fácilmente
configuraciones para que Systems Manager participe en su nombre en todas las
cuentas de su organización de AWS. Puede habilitar la configuración rápida en toda su
organización de AWS o elegir unidades organizativas específicas. Entre otras cosas, la
Configuración rápida puede programar el Agente de AWS Systems Manager (Agente de
SSM) para ejecutar actualizaciones quincenales en sus instancias EC2 y puede
configurar un análisis diario de esas instancias para identificar los parches faltantes.
Systems Manager Explorer es un panel de operaciones personalizable que brinda
información sobre sus recursos de AWS. Explorer muestra una vista agregada de datos
de operaciones para sus cuentas de AWS y en todas las regiones de AWS. Esto incluye
datos sobre sus instancias EC2 y detalles de cumplimiento de parches. Después de
completar la configuración integrada (que también incluye Systems Manager
OpsCenter) dentro de AWS Organizations, puede agregar datos en Explorer por unidad
organizativa o para toda una organización de AWS. Systems Manager agrega los datos
a la cuenta de AWS Org Management antes de mostrarlos en Explorer.
La sección de unidades organizativas de cargas de trabajo más adelante en esta guía
analiza el uso del agente de administrador de sistemas (agente de SSM) en las
instancias EC2 en la cuenta de la aplicación.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Security OU – Security Tooling account

El siguiente diagrama ilustra los servicios de seguridad de AWS que están configurados en la
cuenta de herramientas de seguridad.

La cuenta de herramientas de seguridad está dedicada a operar servicios de seguridad,

monitorear cuentas de AWS y automatizar alertas y respuestas de seguridad. Los objetivos de
seguridad incluyen lo siguiente:

Proporcione un enclave dedicado con acceso controlado para administrar el acceso a las
barandillas de seguridad, el monitoreo y la respuesta.

Mantener la infraestructura de seguridad centralizada adecuada para monitorear los datos de

las operaciones de seguridad y mantener la trazabilidad. La detección, la investigación y la
respuesta son partes esenciales del ciclo de vida de la seguridad y se pueden utilizar para
respaldar un proceso de calidad, una obligación legal o de cumplimiento, y para la identificación
de amenazas y los esfuerzos de respuesta.

Apoye aún más una estrategia de defensa en profundidad al mantener otra capa de control
sobre la configuración y las operaciones de seguridad adecuadas, como las claves de cifrado y
la configuración del grupo de seguridad. Esta es una cuenta donde trabajan los operadores de

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

seguridad. Los roles de solo lectura/auditoría para ver información de toda la organización de
AWS son típicos, mientras que los roles de escritura/modificación están limitados en número,
estrictamente controlados, monitoreados y registrados.

Delegated administrator for security services

La cuenta de herramientas de seguridad sirve como cuenta de administrador para los
servicios de seguridad que se administran en una estructura de administrador/miembro
en todas las cuentas de AWS. Como se mencionó anteriormente, esto se maneja a
través de la funcionalidad de administrador delegado de AWS Organizations. Los
servicios en AWS SRA que actualmente admiten administradores delegados incluyen
AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS IAM Access Analyzer,
Amazon Macie, AWS Security Hub y AWS Systems Manager. El equipo de seguridad
administra las características de seguridad de estos servicios y supervisa cualquier
evento o hallazgo específico de seguridad.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

 AWS Security Hub
AWS Security Hub le brinda una vista integral de su estado de seguridad en AWS y lo
ayuda a comparar su entorno con los estándares y las mejores prácticas de la industria
de la seguridad. Security Hub recopila datos de seguridad de todos los servicios
integrados de AWS, productos de terceros compatibles y otros productos de seguridad
personalizados que puede utilizar. Lo ayuda a monitorear y analizar continuamente sus
tendencias de seguridad e identificar los problemas de seguridad de mayor prioridad.

Security Hub se integra con AWS Organizations para simplificar la administración de la

postura de seguridad en todas sus cuentas existentes y futuras en su organización de
AWS. La cuenta de administrador delegado de Security Hub (en este caso, Security
Tooling) tiene Security Hub habilitado automáticamente y puede elegir las cuentas de
AWS para habilitarlas como cuentas miembro. La cuenta de administrador delegado de
Security Hub también puede ver hallazgos, ver información y controlar detalles de todas
las cuentas de miembros.

Security Hub admite integraciones con varios servicios de AWS. Amazon GuardDuty,
AWS Config, Amazon Macie, AWS IAM Access Analyzer, AWS Firewall Manager,
Amazon Inspector y AWS Systems Manager Patch Manager pueden enviar los
hallazgos a Security Hub. Además, puede pasar de Security Hub a Amazon Detective
para investigar un hallazgo de Amazon GuardDuty. Security Hub recomienda alinear las
cuentas de administrador delegadas para estos servicios (donde existan) para una
integración más fluida. Por ejemplo, si no alinea las cuentas de administrador entre
Detective y Security Hub, no funcionará el cambio de hallazgos a Detective.

Además del monitoreo, Security Hub admite la integración con Amazon EventBridge
para automatizar la corrección de hallazgos específicos. Puede definir acciones
personalizadas para realizar cuando se recibe un hallazgo. Por ejemplo, puede
configurar acciones personalizadas para enviar hallazgos a un sistema de emisión de
tickets o a un sistema de remediación automatizado. Más discusión y ejemplos están
disponibles en estas dos publicaciones de blog de AWS: Respuesta y corrección
automáticas con AWS Security Hub y Cómo implementar la solución de AWS para
Respuesta y corrección automáticas de Security Hub.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Security Hub utiliza reglas de AWS Config vinculadas a servicios para realizar la
mayoría de las comprobaciones de seguridad de los controles. Para admitir estos
controles, AWS Config debe estar habilitado en todas las cuentas, incluidas la cuenta
de administrador (o administrador delegado) y las cuentas de miembros, en cada
región de AWS donde Security Hub esté habilitado .

AWS Security Hub le brinda una vista integral de su estado de seguridad en AWS y lo
ayuda a comparar su entorno con los estándares y las mejores prácticas de la industria
de la seguridad. Security Hub recopila datos de seguridad de todos los servicios
integrados de AWS, productos de terceros compatibles y otros productos de seguridad
personalizados que puede utilizar. Lo ayuda a monitorear y analizar continuamente sus
tendencias de seguridad e identificar los problemas de seguridad de mayor prioridad.

Security Hub se integra con AWS Organizations para simplificar la administración de la

postura de seguridad en todas sus cuentas existentes y futuras en su organización de
AWS. La cuenta de administrador delegado de Security Hub (en este caso, Security
Tooling) tiene Security Hub habilitado automáticamente y puede elegir las cuentas de
AWS para habilitarlas como cuentas miembro. La cuenta de administrador delegado de
Security Hub también puede ver hallazgos, ver información y controlar detalles de todas
las cuentas de miembros.

Security Hub admite integraciones con varios servicios de AWS. Amazon GuardDuty,
AWS Config, Amazon Macie, AWS IAM Access Analyzer, AWS Firewall Manager,
Amazon Inspector y AWS Systems Manager Patch Manager pueden enviar los
hallazgos a Security Hub. Además, puede pasar de Security Hub a Amazon Detective
para investigar un hallazgo de Amazon GuardDuty. Security Hub recomienda alinear las
cuentas de administrador delegadas para estos servicios (donde existan) para una
integración más fluida. Por ejemplo, si no alinea las cuentas de administrador entre
Detective y Security Hub, no funcionará el cambio de hallazgos a Detective.

Además del monitoreo, Security Hub admite la integración con Amazon EventBridge
para automatizar la corrección de hallazgos específicos. Puede definir acciones
personalizadas para realizar cuando se recibe un hallazgo. Por ejemplo, puede

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

configurar acciones personalizadas para enviar hallazgos a un sistema de emisión de
tickets o a un sistema de remediación automatizado. Más discusión y ejemplos están
disponibles en estas dos publicaciones de blog de AWS: Respuesta y corrección
automáticas con AWS Security Hub y Cómo implementar la solución de AWS para
Respuesta y corrección automáticas de Security Hub.

Security Hub utiliza reglas de AWS Config vinculadas a servicios para realizar la
mayoría de las comprobaciones de seguridad de los controles. Para admitir estos
controles, AWS Config debe estar habilitado en todas las cuentas, incluidas la cuenta
de administrador (o administrador delegado) y las cuentas de miembros, en cada
región de AWS donde Security Hub esté habilitado.

Amazon GuardDuty
Amazon GuardDuty es un servicio de detección de amenazas que monitorea
continuamente la actividad maliciosa y el comportamiento no autorizado para proteger
sus cuentas y cargas de trabajo de AWS. Siempre debe capturar y almacenar registros
apropiados para fines de monitoreo y auditoría, pero GuardDuty extrae flujos de datos
independientes directamente de AWS CloudTrail, registros de flujo de VPC y registros
de DNS de AWS. No tiene que administrar las políticas de depósito de Amazon S3 ni
modificar la forma en que recopila y almacena sus registros. Los permisos de
GuardDuty se administran como roles vinculados a servicios que puede revocar en
cualquier momento al deshabilitar GuardDuty. Esto facilita la habilitación del servicio
sin una configuración compleja y elimina el riesgo de que una modificación del permiso
de IAM o un cambio en la política del depósito S3 afecten el funcionamiento del
servicio.

GuardDuty está habilitado en todas las cuentas a través de AWS Organizations, y los
equipos de seguridad correspondientes pueden ver y accionar todos los hallazgos en la
cuenta de administrador delegado de GuardDuty (en este caso, la cuenta de
herramientas de seguridad).

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Cuando AWS Security Hub está habilitado, los hallazgos de GuardDuty fluyen
automáticamente a Security Hub. Cuando Amazon Detective está habilitado, los
hallazgos de GuardDuty se incluyen en el proceso de ingesta de registro de Detective.
GuardDuty y Detective admiten flujos de trabajo de usuarios de servicios cruzados,
donde GuardDuty proporciona enlaces desde la consola que lo redirigen de un hallazgo
seleccionado a una página de Detective que contiene un conjunto seleccionado de
visualizaciones para investigar ese hallazgo. También puede integrar GuardDuty con
Amazon EventBridge para automatizar las mejores prácticas para GuardDuty, como la
automatización de respuestas a nuevos hallazgos de GuardDuty.

AWS Config
AWS Config es un servicio que le permite evaluar, auditar y evaluar las configuraciones
de los recursos de AWS admitidos en sus cuentas de AWS. AWS Config monitorea y
registra continuamente las configuraciones de los recursos de AWS y evalúa
automáticamente las configuraciones registradas con respecto a las configuraciones
deseadas. También puede integrar AWS Config con otros servicios para hacer el trabajo
pesado en canalizaciones de supervisión y auditoría automatizadas. Por ejemplo, AWS
Config puede monitorear cambios en secretos individuales en AWS Secrets Manager.

AWS Config debe estar habilitado para cada cuenta de miembro en la organización de
AWS y para cada región de AWS que contiene los recursos que desea proteger. Puede
administrar de forma centralizada (por ejemplo, crear, actualizar y eliminar) las reglas
de AWS Config en todas las cuentas dentro de su organización de AWS. Desde la
cuenta de administrador delegado de AWS Config, puede implementar un conjunto
común de reglas de AWS Config en todas las cuentas y especificar cuentas en las que
no se deben crear reglas de AWS Config. La cuenta de administrador delegado de AWS

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Config también puede agregar datos de cumplimiento y configuración de recursos de
todas las cuentas miembro para proporcionar una vista única. Utilice las API de la
cuenta de administrador delegada para hacer cumplir la gobernanza asegurándose de
que las reglas subyacentes de AWS Config no puedan ser modificadas por las cuentas
miembro de su organización de AWS.

Amazon Macie
Amazon Macie es un servicio de seguridad y privacidad de datos completamente
administrado que utiliza el aprendizaje automático y la coincidencia de patrones para
descubrir y proteger sus datos confidenciales en AWS. Debe comprender el tipo y la
clasificación de los datos que procesa su carga de trabajo para garantizar que se
apliquen los controles adecuados. Macie automatiza el descubrimiento de datos
confidenciales a escala. Con Macie, puede realizar varias tareas de clasificación de
datos y descubrimiento de contenido confidencial en objetos en Amazon S3. Macie
está habilitado en todas las cuentas a través de AWS Organizations. Los principales
que tienen los permisos apropiados en la cuenta de administrador delegada (en este
caso, la cuenta de herramientas de seguridad) pueden habilitar o suspender Macie en
cualquier cuenta, crear trabajos de descubrimiento de datos confidenciales para
depósitos que son propiedad de cuentas miembro y ver todos los hallazgos de políticas
para todas las cuentas de los miembros. Los hallazgos de datos confidenciales solo
pueden ser vistos por la cuenta que creó el trabajo de hallazgos confidenciales. Para
obtener más información, consulte Administrar varias cuentas en Amazon Macie en la
documentación de Macie.

Los hallazgos de Macie fluyen a AWS Security Hub para su revisión y análisis. Macie
también se integra con Amazon EventBridge para facilitar respuestas automatizadas a
hallazgos como alertas, fuentes de información de seguridad y sistemas de gestión de
eventos (SIEM) y remediación automatizada.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

 AWS IAM Access Analyzer
AWS IAM Access Analyzer lo ayuda a identificar los recursos en su organización y
cuentas de AWS, como los depósitos de Amazon S3 o los roles de IAM, que se
comparten con una entidad externa. Este control de detección lo ayuda a identificar el
acceso no deseado a sus datos y recursos, lo cual es un riesgo de seguridad.

Access Analyzer se implementa en la cuenta de Security Tooling a través de la función

de administrador delegado en AWS Organizations. El administrador delegado tiene
permisos para crear y administrar analizadores con la organización de AWS como zona
de confianza. Los hallazgos de Access Analyzer fluyen automáticamente a Security
Hub. Access Analyzer también envía un evento a EventBridge para cada hallazgo
generado, cuando cambia el estado de un hallazgo existente y cuando se elimina un
hallazgo. EventBridge puede dirigir estos eventos a flujos de notificación o corrección.

AWS Firewall Manager

AWS Firewall Manager ayuda a proteger su red al simplificar sus tareas de
administración y mantenimiento para AWS WAF, AWS Shield Advanced, grupos de
seguridad de Amazon VPC, AWS Network Firewall y Route 53 Resolver DNS Firewall en
múltiples cuentas y recursos. Con Firewall Manager, usted configura sus reglas de
firewall de AWS WAF, las protecciones de Shield Advanced, los grupos de seguridad de
Amazon VPC, los firewalls de AWS Network Firewall y las asociaciones de grupos de
reglas de DNS Firewall solo una vez. El servicio aplica automáticamente las reglas y
protecciones en todas sus cuentas y recursos, incluso cuando agrega nuevos recursos.

Firewall Manager es particularmente útil cuando desea proteger toda su organización

de AWS en lugar de una pequeña cantidad de cuentas y recursos específicos, o si
agrega con frecuencia nuevos recursos que desea proteger. Firewall Manager utiliza
políticas de seguridad para permitirle definir un conjunto de configuraciones, incluidas
las reglas, protecciones y acciones relevantes que deben implementarse y las cuentas y

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

recursos (indicados por etiquetas) para incluir o excluir. Puede crear configuraciones
granulares y flexibles sin dejar de poder escalar el control a un gran número de cuentas
y VPC. Estas políticas aplican de manera automática y constante las reglas que
configura, incluso cuando se crean nuevas cuentas y recursos. Firewall Manager está
habilitado en todas las cuentas a través de AWS Organizations, y la configuración y la
administración las realizan los equipos de seguridad correspondientes en la cuenta de
administrador delegado de Firewall Manager (en este caso, la cuenta de herramientas
de seguridad).

Debe habilitar AWS Config para cada región de AWS que contenga los recursos que
desea proteger. Si no desea habilitar AWS Config para todos los recursos, debe
habilitarlo para los recursos asociados con el tipo de políticas de Firewall Manager que
utiliza. Cuando utiliza AWS Security Hub y Firewall Manager, Firewall Manager envía
automáticamente sus hallazgos a Security Hub. Firewall Manager crea hallazgos para
los recursos que no cumplen y para los ataques que detecta, y envía los hallazgos a
Security Hub. Cuando configura una política de Firewall Manager para AWS WAF, puede
habilitar de forma centralizada el inicio de sesión en listas de control de acceso web
(ACL web) para todas las cuentas dentro del alcance y centralizar los registros en una
sola cuenta.

Amazon EventBridge
Amazon EventBridge es un servicio de bus de eventos sin servidor que facilita la
conexión de sus aplicaciones con datos de una variedad de fuentes. Se utiliza con
frecuencia en la automatización de la seguridad. Puede configurar reglas de
enrutamiento para determinar dónde enviar sus datos para crear arquitecturas de
aplicaciones que reaccionen en tiempo real a todas sus fuentes de datos. Puede crear
un bus de eventos personalizado para recibir eventos de sus aplicaciones
personalizadas, además de usar el bus de eventos predeterminado en cada cuenta.
Debe crear un bus de eventos en la cuenta de herramientas de seguridad que pueda
recibir eventos específicos de seguridad de otras cuentas en la organización de AWS.
Por ejemplo, al vincular las reglas de AWS Config, GuardDuty y Security Hub con

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

EventBridge, crea una canalización flexible y automatizada para enrutar datos de
seguridad, generar alertas y administrar acciones para resolver problemas.

Amazon Detective
Amazon Detective respalda su estrategia de control de seguridad receptiva al facilitar el
análisis, la investigación y la identificación rápida de la causa raíz de los hallazgos de
seguridad o actividades sospechosas. Detective extrae automáticamente eventos
basados en el tiempo, como intentos de inicio de sesión, llamadas a la API y tráfico de
red de los registros de AWS CloudTrail y los registros de flujo de Amazon VPC.
Detective consume estos eventos mediante flujos independientes de registros de
CloudTrail y registros de flujo de VPC. Detective utiliza el aprendizaje automático y la
visualización para crear una vista unificada e interactiva del comportamiento de sus
recursos y las interacciones entre ellos a lo largo del tiempo; esto se denomina gráfico
de comportamiento. Puede explorar el gráfico de comportamiento para examinar
acciones dispares, como intentos de inicio de sesión fallidos o llamadas API
sospechosas.

Detective también ingiere los hallazgos que detecta Amazon GuardDuty. Cuando una
cuenta habilita Detective, se convierte en la cuenta de administrador del gráfico de
comportamiento. Antes de intentar habilitar Detective, asegúrese de que su cuenta
haya estado inscrita en GuardDuty durante al menos 48 horas. Si no cumple con este
requisito, no puede habilitar Detective.

Las cuentas de administrador invitan a las cuentas miembro a aportar sus datos al
gráfico de comportamiento de la cuenta principal. Cuando una cuenta de miembro

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

acepta la invitación y está habilitada, Detective comienza a ingerir y extraer los datos de
la cuenta de miembro en ese gráfico de comportamiento.

Deploying common security services within all AWS

accounts
La sección Aplique los servicios de seguridad en su organización de AWS
anteriormente en esta referencia destacó los servicios de seguridad que protegen una
cuenta de AWS y señaló que muchos de estos servicios también se pueden configurar y
administrar dentro de las organizaciones de AWS. Algunos de estos servicios deben
implementarse en todas las cuentas y los verá en AWS SRA. Esto habilita un conjunto
coherente de medidas de seguridad y proporciona supervisión, administración y
gobernanza centralizadas en toda su organización de AWS.

Security Hub, GuardDuty, AWS Config, Access Analyzer, registros de organización de

CloudTrail y EventBridge aparecen en todas las cuentas. Los primeros cuatro son
compatibles con la función de administrador delegado discutida anteriormente en la
sección de cuenta de administración, acceso de confianza y administradores
delegados. CloudTrail actualmente usa un mecanismo de agregación diferente.
EventBridge no utiliza el mecanismo de supervisión y control centralizado, pero este
servicio se incluye debido a su función integral en la automatización de alertas y
respuestas.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Security OU – Log Archive account

El siguiente diagrama ilustra los servicios de seguridad de AWS que están configurados en la
cuenta Log Archive.

La cuenta Log Archive está dedicada a ingerir y archivar todos los registros y copias de
seguridad relacionados con la seguridad. Con los registros centralizados implementados, puede
monitorear, auditar y alertar sobre el acceso a objetos de Amazon S3, actividad no autorizada por
identidades, cambios en la política de IAM y otras actividades críticas realizadas en recursos
confidenciales. Los objetivos de seguridad son sencillos: debe ser un almacenamiento inmutable,
al que solo se pueda acceder mediante mecanismos controlados, automatizados y supervisados, y
diseñado para durar (por ejemplo, mediante el uso de procesos de replicación y archivo
adecuados). Los controles deben implementarse en profundidad para proteger la integridad y
disponibilidad de los registros y el proceso de gestión de registros. Además de los controles
preventivos, como la asignación de roles con privilegios mínimos que se usarán para acceder y
cifrar registros con una clave de AWS KMS controlada, use controles de detección como AWS
Config para monitorear (y alertar y remediar) esta colección de permisos para cambios
inesperados.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Tipos de registros

Los registros principales que se muestran en AWS SRA incluyen AWS CloudTrail (seguimiento
de la organización), registros de flujo de Amazon VPC, registros de acceso de Amazon
CloudFront y AWS WAF, y registros de DNS de Amazon Route 53. Estos registros
proporcionan una auditoría de las acciones realizadas (o intentadas) por un usuario, rol, servicio
de AWS o entidad de red (identificado, por ejemplo, por una dirección IP). También se pueden
capturar y archivar otros tipos de registros (por ejemplo, registros de aplicaciones o registros de
bases de datos). Para obtener más información sobre las fuentes de registro y las mejores
prácticas de registro, consulte la documentación de seguridad de cada servicio.

Amazon S3 as central log store

Al iniciar sesión en un depósito de S3 dedicado y centralizado que reside en una cuenta
dedicada, puede aplicar estrictos controles de seguridad, acceso y separación de
funciones.

De forma predeterminada, los archivos de registro entregados por CloudTrail al

depósito se cifran mediante el cifrado del lado del servidor de Amazon con claves de
cifrado administradas por Amazon S3 (SSE-S3). Para proporcionar una capa de
seguridad que se pueda administrar directamente, debe usar el cifrado del lado del
servidor con las claves de AWS KMS que administra (SSE-KMS) en todos los archivos
de registro de seguridad. Con esta función, para leer los archivos de registro, un usuario
debe tener permisos de lectura de Amazon S3 para el depósito que contiene los
archivos de registro y una política o rol de IAM aplicado que permita los permisos de
descifrado por parte de la política de claves asociada. Además, CloudTrail proporciona
validación de integridad de archivos de registro para determinar si un archivo de
registro se modificó o eliminó después de que CloudTrail lo entregó.

Configure la función de eliminación de autenticación multifactor (MFA) para el depósito

de archivo de registro para asegurarse de que cualquier intento de cambiar el estado de

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

control de versiones del depósito o de eliminar de forma permanente una versión de
objeto requiera autenticación adicional. Esto ayuda a prevenir cualquier operación que
pueda comprometer la integridad de sus archivos de registro.

Puede utilizar las reglas de administración del ciclo de vida de los objetos de Amazon
S3 para definir su propia política de retención a fin de satisfacer mejor sus necesidades
comerciales y de auditoría. Por ejemplo, es posible que desee archivar archivos de
registro que tengan más de un año de antigüedad en Amazon S3 Glacier o eliminar
archivos de registro después de que haya transcurrido cierto tiempo.

Además de proteger el propio depósito de S3, debe cumplir con el principio de privilegio
mínimo para los servicios de registro (por ejemplo, CloudTrail) y la cuenta de archivo de
registro. Por ejemplo, los usuarios con permisos otorgados por la política de IAM
administrada por AWS AWSCloudTrail_FullAccess tienen la capacidad de deshabilitar o
reconfigurar las funciones de auditoría más sensibles e importantes en sus cuentas de
AWS. Limite la aplicación de esta política de IAM a la menor cantidad de personas
posible.

Utilice controles de detección, como los proporcionados por AWS Config y AWS IAM
Access Analyzer, para monitorear (y alertar y remediar) este colectivo más amplio de
controles preventivos para cambios inesperados.

Security service guardrails

En AWS SRA, AWS Security Hub, Amazon GuardDuty, Amazon Macie, AWS Config, AWS
IAM Access Analyzer, los registros de organización de AWS CloudTrail y Amazon
EventBridge se implementan con la administración delegada adecuada en la cuenta de
herramientas de seguridad. Esto habilita un conjunto coherente de medidas de
seguridad y proporciona supervisión, administración y gobernanza centralizadas en
toda su organización de AWS.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Infrastructure OU – Network account

El siguiente diagrama ilustra los servicios de seguridad de AWS que están configurados
en la cuenta de red.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

La cuenta de red administra la puerta de enlace entre su aplicación y la Internet más
amplia. Es importante proteger esa interfaz bidireccional. La cuenta de red aísla los
servicios, la configuración y el funcionamiento de la red de las cargas de trabajo, la
seguridad y otra infraestructura de las aplicaciones individuales. Este arreglo no solo
limita la conectividad, los permisos y el flujo de datos, sino que también admite la
separación de funciones y privilegios mínimos para los equipos que necesitan operar
en estas cuentas. Al dividir el flujo de red en nubes privadas virtuales (VPC) entrantes y
salientes separadas, puede proteger la infraestructura y el tráfico confidenciales del
acceso no deseado. La red de entrada generalmente se considera de mayor riesgo y
merece el enrutamiento, la supervisión y las mitigaciones de posibles problemas
adecuados. Estas cuentas de infraestructura heredarán las medidas de seguridad de
permisos de la cuenta de administración de la organización y la unidad organizativa de
infraestructura. Los equipos de redes (y seguridad) administrarán la mayor parte de la
infraestructura aquí.

Arquitectura de red

Aunque el diseño de la red y los detalles están más allá del alcance de este documento,
recomendamos estas tres opciones para la conectividad de red entre las distintas
cuentas: emparejamiento de VPC, AWS PrivateLink y AWS Transit Gateway. Las
consideraciones importantes al elegir entre estos son las normas operativas, los
presupuestos y las necesidades específicas de ancho de banda.

Emparejamiento de VPC: la forma más sencilla de conectar dos VPC es utilizar el

emparejamiento de VPC. Una conexión permite una conectividad bidireccional
completa entre las VPC. Las VPC entre cuentas y regiones de AWS también se pueden
interconectar. A escala, cuando tiene decenas o cientos de VPC, interconectarlas con
intercambio de tráfico da como resultado una malla de cientos a miles de conexiones
de intercambio de tráfico, que pueden ser difíciles de administrar y escalar. La
interconexión de VPC se utiliza mejor cuando los recursos de una VPC deben
comunicarse con los recursos de otra VPC, el entorno de ambas VPC está controlado y
protegido, y la cantidad de VPC que se conectarán es inferior a 10 (para permitir la
administración individual de cada conexión). ).

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

AWS PrivateLink: AWS PrivateLink proporciona conectividad privada entre las VPC, los
servicios y la aplicación. Puede crear su propia aplicación en su VPC y configurarla
como un servicio impulsado por AWS PrivateLink (denominado servicio de punto de
enlace). Otras entidades principales de AWS pueden crear una conexión desde su VPC
a su servicio de punto de enlace mediante un punto de enlace de la VPC de interfaz o un
punto de enlace de Gateway Load Balancer, según el tipo de servicio. Cuando utiliza
AWS PrivateLink, el tráfico del servicio no pasa a través de una red enrutable
públicamente. Utilice AWS PrivateLink cuando tenga una configuración cliente-servidor
en la que desee otorgar a una o más VPC de consumidores acceso unidireccional a un
servicio específico o conjunto de instancias en la VPC del proveedor de servicios. Esta
también es una buena opción cuando los clientes y servidores en las dos VPC tienen
direcciones IP superpuestas, porque AWS PrivateLink usa interfaces de red elásticas
dentro de la VPC del cliente para que no haya conflictos de IP con el proveedor de
servicios.

AWS Transit Gateway: AWS Transit Gateway proporciona un diseño centralizado para
conectar VPC y redes locales como un servicio totalmente administrado sin necesidad
de aprovisionar dispositivos virtuales. AWS administra alta disponibilidad y
escalabilidad. Una puerta de enlace de tránsito es un recurso regional y puede conectar
miles de VPC dentro de la misma región de AWS. Puede adjuntar toda su conectividad
híbrida (conexiones VPN y AWS Direct Connect) a una única puerta de enlace de
tránsito, consolidando y controlando así toda la configuración de enrutamiento de su
organización de AWS en un solo lugar. Una puerta de enlace de tránsito resuelve la
complejidad que implica la creación y gestión de múltiples interconexiones de VPC a
escala. Es un buen valor predeterminado para la mayoría de las arquitecturas de red,
pero las necesidades específicas en torno al costo, el ancho de banda y la latencia
pueden hacer que la interconexión de VPC se ajuste mejor a sus necesidades.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

 Inbound (ingress) VPC
La VPC entrante está diseñada para aceptar, inspeccionar y enrutar las conexiones de
red iniciadas fuera de la aplicación. Dependiendo de los detalles de la aplicación,
esperamos ver alguna traducción de direcciones de red (NAT) en esta VPC. Los
registros de flujo de esta VPC se capturan y almacenan en la cuenta de archivo de
registro.

Outbound (egress) VPC

La VPC de salida está diseñada para manejar las conexiones de red iniciadas desde
dentro de la aplicación. Según los detalles de la aplicación, esperamos ver NAT de
tráfico, puntos de enlace de la VPC específicos del servicio de AWS y alojamiento de
puntos de enlace de API externos en esta VPC. Los registros de flujo de esta VPC se
capturan y almacenan en la cuenta de archivo de registro.

Inspection VPC
Una VPC de inspección dedicada proporciona un enfoque central y simplificado para
administrar las inspecciones entre las VPC (en la misma o en diferentes regiones de
AWS), Internet y las redes locales. Para AWS SRA, asegúrese de que todo el tráfico
entre las VPC pase por la VPC de inspección y evite usar la VPC de inspección para
cualquier otra carga de trabajo.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

 AWS Network Firewall
AWS Network Firewall es un servicio de firewall de red administrado y de alta
disponibilidad para su VPC. Le permite implementar y administrar fácilmente la
inspección con estado, la prevención y detección de intrusiones y el filtrado web para
proteger sus redes virtuales en AWS. Para obtener más información sobre la
configuración de Network Firewall, consulte la publicación de blog AWS Network
Firewall: nuevo servicio de firewall administrado en VPC.

Utiliza un firewall por zona de disponibilidad en su VPC. Para cada zona de

disponibilidad, elige una subred para alojar el extremo del firewall que filtra su tráfico. El
extremo del firewall en una zona de disponibilidad puede proteger todas las subredes
dentro de la zona excepto la subred donde se encuentra. Según el caso de uso y el
modelo de implementación, la subred del firewall puede ser pública o privada. El
cortafuegos es completamente transparente al flujo de tráfico y no realiza traducción
de direcciones de red (NAT). Conserva la dirección de origen y de destino. En esta
arquitectura de referencia, los puntos finales de firewall se alojan en una VPC de
inspección. Todo el tráfico de la VPC entrante y hacia la VPC saliente se enruta a través
de esta subred de firewall para su inspección.

Network Firewall hace que la actividad del firewall sea visible en tiempo real a través de
las métricas de Amazon CloudWatch y ofrece una mayor visibilidad del tráfico de la red
mediante el envío de registros a Amazon Simple Storage Service (Amazon S3),
CloudWatch y Amazon Kinesis Data Firehose. Network Firewall es interoperable con su
enfoque de seguridad existente, incluidas las tecnologías de los socios de AWS.
También puede importar conjuntos de reglas de Suricata existentes, que pueden haber
sido escritos internamente o de fuentes externas de proveedores externos o
plataformas de código abierto.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

 AWS Certificate Manager (ACM)
ACM maneja la complejidad de crear, almacenar y renovar certificados y claves
SSL/TLS X.509 que protegen sus aplicaciones. En la VPC de entrada, los certificados
públicos proporcionados por ACM se implementan a través de Amazon Route 53
(habilitando la validación de propiedad de DNS mediante CNAME). Para usos
adicionales de ACM, consulte la sección sobre la unidad organizativa de cargas de
trabajo más adelante en este documento.

AWS WAF
AWS WAF es un firewall de aplicaciones web que le permite monitorear las solicitudes
HTTP y HTTPS que se reenvían a una distribución de Amazon CloudFront, una API REST
de Amazon API Gateway, un balanceador de carga de aplicaciones o una API GraphQL
de AWS AppSync. AWS WAF también le permite controlar el acceso a su contenido. En
función de las condiciones que especifique, como las direcciones IP desde las que se
originan las solicitudes o los valores de las cadenas de consulta, el servicio presentado
responde a las solicitudes con el contenido solicitado o con un código de estado HTTP
403 (Prohibido). En esta arquitectura, AWS WAF protege CloudFront.

Amazon CloudFront
Amazon CloudFront es una red de entrega de contenido (CDN) altamente segura que
brinda protección tanto a nivel de red como a nivel de aplicación. Puede entregar su
contenido, API o aplicaciones mediante el uso de certificados SSL/TLS, y las funciones
avanzadas de SSL se habilitan automáticamente. Puede utilizar AWS Certificate
Manager (ACM) para crear fácilmente un certificado SSL personalizado e implementar

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

contenido en su distribución de CloudFront de forma gratuita. Además, puede restringir
el acceso a su contenido mediante el uso de una serie de capacidades:

• Mediante el uso de URL firmadas y cookies firmadas, puede admitir la autenticación

de token para restringir el acceso solo a los espectadores autenticados.

• A través de la capacidad de restricción geográfica, puede evitar que los usuarios en

ubicaciones geográficas específicas accedan al contenido que está distribuyendo a
través de CloudFront.

• Puede usar la función de identidad de acceso de origen (OAI) para restringir el acceso
a un depósito de S3 para que solo sea accesible desde CloudFront.

AWS Shield
AWS Shield es un servicio de protección DDoS administrado que protege las
aplicaciones que se ejecutan en AWS. Shield proporciona detección siempre activa y
mitigaciones automáticas en línea que minimizan el tiempo de inactividad y la latencia
de las aplicaciones, por lo que no es necesario recurrir a AWS Support para beneficiarse
de la protección DDoS. En AWS SRA, Shield Advanced está configurado para proteger
Route 53 y CloudFront.

Security service guardrails

En AWS SRA, AWS Security Hub, Amazon GuardDuty, AWS Config, AWS IAM Access
Analyzer, registros de organización de AWS CloudTrail y Amazon EventBridge se
implementan con la administración delegada adecuada en la cuenta de herramientas
de seguridad. Esto habilita un conjunto coherente de medidas de seguridad y
proporciona supervisión, administración y gobernanza centralizadas en toda su
organización de AWS.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Infrastructure OU – Shared Services account

El siguiente diagrama ilustra los servicios de seguridad de AWS que están configurados en la
cuenta de servicios compartidos.

La cuenta de Servicios compartidos forma parte de la unidad organizativa Infraestructura y su

objetivo es admitir los servicios que utilizan varias aplicaciones y equipos para ofrecer sus
resultados. Por ejemplo, los servicios de directorio (Active Directory), los servicios de
mensajería y los servicios de metadatos se encuentran en esta categoría. AWS SRA destaca los
servicios compartidos que respaldan los controles de seguridad. Aunque las cuentas de red
también forman parte de la unidad organizativa de infraestructura, se eliminan de la cuenta de
servicios compartidos para admitir la separación de funciones. Los equipos que administrarán
estos servicios no necesitan permisos ni acceso a las cuentas de la red.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

 AWS Systems Manager
AWS Systems Manager (que también se incluye en la cuenta de administración de la
organización y en la cuenta de la aplicación) proporciona una colección de capacidades
que permiten la visibilidad y el control de sus recursos de AWS. Una de estas
capacidades, Systems Manager Explorer, es un panel de operaciones personalizable
que brinda información sobre sus recursos de AWS. Puede sincronizar los datos de
operaciones en todas las cuentas de su organización de AWS mediante AWS
Organizations y Systems Manager Explorer. Systems Manager se implementa en la
cuenta de Shared Services a través de la funcionalidad de administrador delegado en
AWS Organizations.

AWS Directory Service

AWS Directory Service permite a los administradores conectar su Microsoft Active
Directory (AD) autoadministrado o su directorio de AWS Directory Service para
Microsoft Active Directory (AWS Managed Microsoft AD) a AWS Single Sign-On (AWS
SSO). (Consulte también la organización de AWS y la estructura de cuenta de AWS SRA
anteriormente en este documento). Este directorio de Microsoft AD define el grupo de
identidades que los administradores pueden extraer cuando usan la consola de AWS
SSO para asignar acceso SSO. Una vez que los administradores conectan su directorio
corporativo a AWS SSO, pueden otorgar a sus usuarios o grupos de AD acceso a
cuentas de AWS, aplicaciones en la nube o ambos. AWS Directory Service lo ayuda a
configurar y ejecutar un directorio independiente de AWS Managed Microsoft AD que
está alojado en la nube de AWS. También puede usar AWS Directory Service para
conectar sus recursos de AWS con un AD autoadministrado existente.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Security service guardrails
En AWS SRA, AWS Security Hub, Amazon GuardDuty, AWS Config, AWS IAM Access
Analyzer, registros de organización de AWS CloudTrail y Amazon EventBridge se
implementan con la administración delegada adecuada en la cuenta de herramientas
de seguridad. Esto habilita un conjunto coherente de medidas de seguridad y
proporcional supervisión, administración y gobernanza centralizadas en toda su
organización de AWS.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Workloads OU – Application account

El siguiente diagrama ilustra los servicios de seguridad de AWS que están configurados en la
cuenta de la aplicación (junto con la propia aplicación).

La cuenta de la aplicación aloja la infraestructura y los servicios principales para ejecutar y

mantener una aplicación empresarial. La cuenta de aplicación y la unidad organizativa de cargas
de trabajo cumplen algunos objetivos de seguridad principales. Primero, crea una cuenta
separada para cada aplicación para proporcionar límites y controles entre las cargas de trabajo
para que pueda evitar problemas de roles, permisos, datos y claves de cifrado combinados. Desea
proporcionar un contenedor de cuenta separado donde el equipo de la aplicación pueda tener
amplios derechos para administrar su propia infraestructura sin afectar a otros. A continuación,
agrega una capa de protección al proporcionar un mecanismo para que el equipo de operaciones
de seguridad supervise y recopile datos de seguridad. Emplee un seguimiento de la organización
e implementaciones locales de servicios de seguridad de cuentas (Amazon GuardDuty, AWS
Config, AWS Security Hub, Amazon EventBridge, AWS IAM Access Analyzer), que son
configurados y monitoreados por el equipo de seguridad. Finalmente, permite que su empresa

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

establezca controles de forma centralizada. La cuenta de la aplicación se alinea con la estructura
de seguridad más amplia al convertirla en miembro de la unidad organizativa de cargas de
trabajo a través de la cual hereda los permisos de servicio, las restricciones y las medidas de
seguridad correspondientes.

Application VPC

La nube privada virtual (VPC) en la cuenta de la aplicación necesita acceso entrante

(para los servicios web simples que está modelando) y acceso saliente (para las
necesidades de la aplicación o del servicio de AWS). De forma predeterminada, todos
los recursos dentro de una VPC se pueden enrutar entre sí. Hay dos subredes privadas:
una para alojar las instancias de Amazon Elastic Compute Cloud (Amazon EC2) (capa
de aplicación) y la otra para Amazon Aurora (capa de base de datos). La segmentación
de la red entre diferentes niveles, como el nivel de aplicación y el nivel de base de datos,
se logra a través de grupos de seguridad de VPC, que restringen el tráfico a nivel de
instancia. Para la resiliencia, la carga de trabajo abarca dos o más zonas de
disponibilidad y utiliza dos subredes por zona.

VPC endpoints
Los puntos de enlace de la VPC proporcionan otra capa de control de seguridad,
además de escalabilidad y confiabilidad. Úselos para conectar la VPC de su aplicación
a otros servicios de AWS. (En la cuenta de la aplicación, AWS SRA emplea puntos de
enlace de la VPC para AWS KMS, AWS Systems Manager y Amazon S3). Los puntos de
enlace son dispositivos virtuales. Son componentes de VPC de escalado horizontal,

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

redundantes y de alta disponibilidad. Permiten la comunicación entre instancias en su
VPC y servicios sin imponer riesgos de disponibilidad o restricciones de ancho de
banda en el tráfico de su red. Puede utilizar un punto de enlace de la VPC para conectar
de forma privada su VPC a servicios de AWS admitidos y servicios de punto de enlace
de la VPC con tecnología de AWS PrivateLink sin necesidad de una puerta de enlace de
Internet, un dispositivo NAT, una conexión de VPN o una conexión de AWS Direct
Connect. Las instancias de su VPC no requieren direcciones IP públicas para
comunicarse con otros servicios de AWS. El tráfico entre su VPC y el otro servicio de
AWS no sale de la red de Amazon.

Otro beneficio de usar puntos de enlace de la VPC es permitir la configuración de

políticas de puntos de enlace. Una política de punto de enlace de la VPC es una política
de recursos de IAM que adjunta a un punto de enlace cuando crea o modifica el punto
de enlace. Si no adjunta una política de IAM cuando crea un punto de enlace, AWS
adjunta una política de IAM predeterminada que le permite el acceso total al servicio.
Una política de punto final no anula ni reemplaza las políticas de usuario de IAM ni las
políticas específicas del servicio (como las políticas de depósito de S3). Es una política
de IAM separada para controlar el acceso desde el punto final al servicio especificado.
De esta forma, agrega otra capa de control sobre qué principales de AWS pueden
comunicarse con recursos o servicios.

Amazon EC2
Las instancias EC2 que componen nuestra aplicación hacen uso de la versión 2 del
Servicio de Metadatos de Instancia (IMDSv2). IMDSv2 agrega protecciones para cuatro
tipos de vulnerabilidades que podrían usarse para intentar acceder a IMDS: firewalls de
aplicaciones de sitios web, proxies inversos abiertos, vulnerabilidades de falsificación
de solicitud del lado del servidor (SSRF), firewalls de capa 3 abiertos y NAT. Para
obtener más información, consulte la publicación de blog Agregue defensa en
profundidad contra firewalls abiertos, proxies inversos y vulnerabilidades SSRF con
mejoras en el servicio de metadatos de instancia EC2.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

 Application Load Balancers
Los balanceadores de carga de aplicaciones distribuyen el tráfico de aplicaciones
entrantes entre múltiples objetivos, como instancias EC2, en múltiples zonas de
disponibilidad. En AWS SRA, el grupo objetivo del balanceador de carga son las
instancias EC2 de la aplicación. AWS SRA utiliza agentes de escucha HTTPS para
garantizar que el canal de comunicación esté cifrado. Application Load Balancer usa un
certificado de servidor para terminar la conexión front-end y luego descifrar las
solicitudes de los clientes antes de enviarlas a los destinos.

AWS Certificate Manager (ACM) se integra de forma nativa con Application Load
Balancers, y AWS SRA usa ACM para generar y administrar los certificados X.509
(servidor SSL/TLS) necesarios. Puede aplicar TLS 1.2 y cifrados sólidos para las
conexiones de front-end a través de la política de seguridad del Equilibrador de carga
de aplicaciones. Para obtener más información, consulte la documentación de Elastic
Load Balancing.

Amazon Inspector
Amazon Inspector implementa dos tipos de controles de detección, que prueban la
accesibilidad de la red de sus instancias EC2 y el estado de seguridad de sus
aplicaciones que se ejecutan en esas instancias.

El paquete de reglas de accesibilidad de la red de Amazon Inspector evalúa la

accesibilidad de sus instancias EC2 hacia o desde Internet. Estas reglas ayudan a
automatizar el monitoreo de sus redes de AWS e identifican dónde podría estar mal
configurado el acceso de red a sus instancias EC2. Los resultados muestran si los
puertos de su instancia EC2 son accesibles desde Internet. Estos hallazgos también
destacan las configuraciones de red que permiten un acceso potencialmente malicioso,
como grupos de seguridad mal administrados, listas de control de acceso (ACL),

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

puertas de enlace de Internet, etc. Para obtener más información, consulte la
documentación de Amazon Inspector.

Al instalar el agente de Amazon Inspector, puede evaluar aún más el host EC2 en
cuanto a la exposición a vulnerabilidades y exposiciones comunes (CVE), la alineación
con los puntos de referencia del Center for Internet Security (CIS) y la alineación con las
prácticas recomendadas de seguridad de AWS. Para obtener más información,
consulte la documentación de Amazon Inspector.

AWS Systems Manager

AWS Systems Manager es un servicio de AWS que puede utilizar para ver datos
operativos de varios servicios de AWS y automatizar tareas operativas en sus recursos
de AWS. Con flujos de trabajo y runbooks de aprobación automatizados, puede reducir
los errores humanos y simplificar las tareas de mantenimiento e implementación en los
recursos de AWS.

Además de estas capacidades generales de automatización, Systems Manager admite

una serie de funciones de seguridad preventivas, de detección y de respuesta. Systems
Manager Agent (SSM Agent) es un software de Amazon que se puede instalar y
configurar en una instancia EC2, un servidor local o una máquina virtual (VM). El Agente
de SSM hace posible que Systems Manager actualice, administre y configure estos
recursos. SSM lo ayuda a mantener la seguridad y el cumplimiento al escanear estas
instancias administradas e informar (o tomar medidas correctivas) sobre cualquier
infracción que detecte en su parche, configuración y políticas personalizadas.

AWS SRA utiliza AWS Systems Manager Session Manager para proporcionar una
experiencia de CLI y shell interactiva basada en navegador. Esto proporciona una
gestión de instancias segura y auditable sin necesidad de abrir puertos de entrada,
mantener hosts bastión o gestionar claves SSH. AWS SRA utiliza AWS Systems
Manager Patch Manager para aplicar parches a instancias EC2 para sistemas
operativos y aplicaciones.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Amazon Aurora
En AWS SRA, Amazon Aurora y Amazon S3 conforman el nivel de datos lógicos. Aurora
es un motor de base de datos relacional totalmente administrado que es compatible
con MySQL y PostgreSQL. Una aplicación que se ejecuta en las instancias EC2 se
comunica con Aurora y Amazon S3 según sea necesario. Aurora está configurada con
un clúster de base de datos dentro de un grupo de subred de base de datos.

Amazon S3
Amazon S3 es un servicio de almacenamiento de objetos que ofrece escalabilidad,
disponibilidad de datos, seguridad y rendimiento líderes en la industria. Es la columna
vertebral de datos de muchas aplicaciones creadas en AWS, y los controles de
seguridad y los permisos adecuados son fundamentales para proteger los datos
confidenciales. Para conocer las mejores prácticas de seguridad recomendadas para
Amazon S3, consulte la documentación, las charlas técnicas en línea y las inmersiones
más profundas en las publicaciones del blog. La mejor práctica más importante es
bloquear el acceso demasiado permisivo (especialmente el acceso público) a los
depósitos de S3.

AWS KMS
AWS Key Management Service (AWS KMS) le facilita la creación y administración de
claves criptográficas y el control de su uso en una amplia gama de servicios de AWS y
en sus aplicaciones. Al definir un enfoque de cifrado que incluya el almacenamiento, la
rotación y el control de acceso de las claves, puede ayudar a brindar protección a su
contenido contra usuarios no autorizados y contra la exposición innecesaria a usuarios
autorizados. AWS KMS es un servicio seguro y resistente que utiliza módulos de

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

seguridad de hardware. Las claves de AWS KMS son los recursos principales en AWS
KMS. Una clave KMS es una representación lógica de una clave de cifrado. Para
protección y flexibilidad, AWS KMS admite tres tipos de claves KMS: claves
administradas por el cliente, claves administradas por AWS y claves propiedad de AWS.
Las claves administradas por el cliente son claves en su cuenta de AWS que usted crea,
posee y administra. Las claves administradas por AWS son claves en su cuenta que un
servicio de AWS que está integrado con AWS KMS crea, administra y utiliza en su
nombre. Las claves de propiedad de AWS son una colección de claves que un servicio
de AWS posee y administra para su uso en varias cuentas de AWS. Para obtener más
información sobre el uso de claves KMS, consulte la documentación de AWS KMS y el
documento técnico de prácticas recomendadas de AWS Key Management Service.

AWS CloudHSM
AWS CloudHSM proporciona módulos de seguridad de hardware (HSM) administrados
en la nube de AWS. Le permite generar y utilizar sus propias claves de cifrado en AWS
mediante el uso de HSM validados con FIPS 140-2 de nivel 3 a los que usted controla el
acceso. Puede utilizar AWS CloudHSM para descargar el procesamiento SSL/TLS para
sus servidores web. Esto reduce la carga del servidor web y brinda seguridad adicional
al almacenar la clave privada del servidor web en AWS CloudHSM. De manera similar,
podría implementar un HSM de AWS CloudHSM en la VPC de entrada en la cuenta de
red para almacenar sus claves privadas y firmar solicitudes de certificado si necesita
actuar como una autoridad emisora de certificados.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Recursos de gestión de identidades y accesos IAM

Aunque AWS Identity and Access Management (IAM) no es un servicio dibujado en un

diagrama de arquitectura tradicional, toca todos los aspectos de la organización de AWS, las
cuentas de AWS y los servicios de AWS. No puede implementar ningún servicio de AWS sin
crear entidades principales de IAM y otorgar permisos primero. Un tratamiento completo de
IAM está más allá del alcance de este documento, pero esta sección proporciona resúmenes
importantes de recomendaciones de mejores prácticas e indicadores de recursos adicionales.

Para conocer las mejores prácticas de IAM, consulte Mejores prácticas de seguridad en IAM en
la documentación de AWS, artículos de IAM en el blog de seguridad de AWS y presentaciones
de AWS re:Invent.

El pilar de seguridad de AWS Well-Architected describe los pasos clave en el proceso de

administración de permisos: definir medidas de protección de permisos, otorgar acceso con
privilegios mínimos, analizar el acceso público y entre cuentas, compartir recursos de forma
segura, reducir permisos continuamente y establecer un proceso de acceso de emergencia.

La siguiente tabla y las notas que la acompañan brindan una descripción general de alto nivel de
la guía recomendada sobre los tipos de políticas de permisos de IAM disponibles y cómo usarlas
en su arquitectura de seguridad. Para obtener más información, consulte la AWS.

https://github.com/aws-samples/aws-security-reference-architecture-examples

Msc.Ing.Giovanni Barrero Ortiz - [email protected]