Auditoría de la seguridad con AWS Trusted Advisor (Español LATAM) | Auditing Your Security with AWS Trusted Advisor (LATAM Spanish)

Información general sobre el laboratorio

Este laboratorio es una guía de los pasos para auditar los recursos de AWS y asegurarse de que la configuración cumpla con las prácticas recomendadas de seguridad básicas. El laboratorio utiliza AWS Trusted Advisor en lo que respecta a la seguridad. Los temas que se tratan incluyen el trabajo con grupos de seguridad, la autenticación multifactor (MFA) y AWS Identity and Access Management (IAM).

Objetivos

Al final de este laboratorio, podrá hacer lo siguiente:

• utilizar Trusted Advisor para realizar una auditoría básica de los recursos de AWS
• modificar los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) para cumplir con las prácticas recomendadas
• configurar la autenticación multifactor (MFA) (requiere instalar el software en un dispositivo móvil, opcional)

Conocimientos técnicos previos necesarios

Para completar este laboratorio correctamente, deberá conocer los servicios de AWS, entre los que se incluyen Amazon EC2, y tener conocimientos básicos sobre los grupos de seguridad. Deberá estar familiarizado con el inicio de sesión y el uso de la Consola de administración de AWS e IAM.

Duración

El tiempo para completar este laboratorio será de 90 minutos.

Significados de los íconos

A lo largo de este laboratorio, se utilizan varios íconos para llamar la atención sobre diferentes tipos de instrucciones y notas. En la siguiente lista, se explica el propósito de cada ícono:

• un resultado de muestra que puede utilizar para verificar el resultado de un paso/tarea que realizó
• una pista, consejo u orientación importante
• Información adicional: dónde encontrar más información.

Prácticas recomendadas sobre seguridad de AWS

Modelo de responsabilidad compartida

El modelo de seguridad de AWS es de responsabilidad compartida, lo que implica que tanto AWS como sus clientes trabajen en conjunto para alcanzar los objetivos de seguridad. AWS proporciona una infraestructura subyacente muy segura y disponible en la que todos los servicios de AWS operan. Las capas de seguridad de AWS incluyen la seguridad del hardware, las instalaciones, la infraestructura de redes y la infraestructura de la virtualización.

Las capas que no se encuentran bajo el control directo de AWS están a cargo del cliente, quien se debe encargar de asegurar de forma adecuada los recursos que utiliza en la infraestructura de la nube.

Seguridad de los recursos en la nube

AWS proporcionó una variedad de controles que los clientes pueden usar para proteger sus activos de información en la nube. Entre ellos, se encuentran IAM, Amazon Virtual Private Cloud (VPC), grupos de seguridad, ACL de red y certificados.

Cuando se crean y mantienen infraestructuras basadas en la nube en AWS, es importante seguir las prácticas recomendadas para que los datos y recursos estén seguros.

Prácticas recomendadas para la seguridad, la identidad y el cumplimiento es una guía de referencia muy valiosa para comprender las prácticas recomendadas de seguridad en Amazon Web Services.

AWS Trusted Advisor

AWS Trusted Advisor proporciona prácticas recomendadas en cinco categorías:

• optimización de costos
• Seguridad
• tolerancia a errores
• mejora de rendimiento
• límites de servicio

Puede utilizar más de 60 comprobaciones de AWS Trusted Advisor para supervisar y mejorar la implementación de Amazon EC2, Elastic Load Balancing (ELB), Amazon Elastic Block Store (Amazon EBS), Amazon Simple Storage Service (Amazon S3), Amazon EC2 Auto Scaling, AWS Identity and Access Management (IAM), Amazon Relational Database Service (Amazon RDS), Amazon Route 53 y otros servicios. Puede ver el estado general de los recursos de AWS y estimación de ahorros en la página Recommendations (Recomendaciones) de AWS Trusted Advisor.

AWS Trusted Advisor sirve especialmente para asegurarse de estar siguiendo las prácticas recomendadas de seguridad. En este laboratorio, utiliza las comprobaciones de seguridad gratuitas de AWS Trusted Advisor.

Precios de AWS Trusted Advisor

Si tiene un plan Basic Support y Developer Support, puede utilizar la consola Trusted Advisor para acceder a todos los controles de la categoría Límites de servicios y a los siguientes controles de la categoría Seguridad:

Grupos de seguridad, puertos específicos sin restricciones: comprueba los grupos de seguridad en busca de reglas que permitan el acceso sin restricciones (0.0.0.0/0) a puertos específicos. El acceso ilimitado aumenta las oportunidades de actividad malintencionada (piratería informática, ataques de denegación de servicio, pérdida de datos). Los puertos con mayor riesgo están marcados en rojo y los de menor riesgo, en amarillo. Los puertos marcados en verde suelen ser utilizados por aplicaciones que necesitan acceso ilimitado, como HTTP y SMTP.

Uso de IAM: controla el uso de IAM. Puede utilizar IAM para crear usuarios, grupos y roles en AWS, y puede utilizar permisos con el fin de controlar el acceso a los recursos de AWS.

La autenticación multifactor en la cuenta raíz: controla la cuenta raíz y alerta si no está activada la autenticación multifactor (MFA). Para aumentar la seguridad, AWS recomienda que proteja su cuenta mediante MFA, que requiere que el usuario ingrese un código de autenticación único en su equipo o dispositivo virtual de MFA al interactuar con la consola de AWS y los sitios web asociados.

Instantáneas públicas de Amazon EBS: controla la configuración de los permisos para las instantáneas del volumen de Amazon EBS y le avisa si alguna instantánea se marca como pública. Cuando alguna instantánea se vuelve pública, todas las cuentas y usuarios de AWS pueden acceder a los datos en esa instantánea. Si quiere compartir una instantánea con un usuario o cuenta en particular, márquela como privada y, luego, especifique el usuario o cuenta con la que quiere compartir esos datos.

Instantáneas públicas de Amazon RDS: controla la configuración de los permisos para las instantáneas de base de datos de Amazon RDS y le avisa si alguna instantánea se marca como pública. Cuando alguna instantánea se vuelve pública, todas las cuentas y usuarios de AWS pueden acceder a los datos en esa instantánea. Si quiere compartir una instantánea con un usuario o cuenta en particular, márquela como privada y, luego, especifique el usuario o cuenta con la que quiere compartir esos datos.

MFA en la cuenta raíz: controla la cuenta raíz y alerta si no está activada la autenticación multifactor (MFA).

Algunas de estas comprobaciones sirven como una auditoría muy básica de la configuración de seguridad. Para acceder a todas las más de 60 comprobaciones, debe cambiar su cuenta a un plan Business o Enterprise Support.

Para obtener más información acerca de los precios de AWS Support, visite Comparar los planes de AWS.

Dispositivos MFA

Los dispositivos de autenticación multifactor (MFA) pueden ser tanto virtuales como físicos. Para utilizar la autenticación multifactor física, debe comprar un llavero o tarjeta de seguridad digital Gemalto. Como alternativa, puede utilizar alguna de las aplicaciones virtuales de autenticación multifactor gratuitas y compatibles que están disponibles para dispositivos móviles Android, iPhone, Windows y Blackberry. En este laboratorio, se explica cómo configurar una aplicación de autenticación multifactor virtual en un dispositivo móvil. Si este paso le resulta incómodo, puede saltearlo.

Consulte la lista de aplicaciones de autenticación multifactor compatibles a fin de comprobar si hay una opción para su dispositivo móvil: Autenticación multifactor para IAM