Información general sobre el laboratorio
Este laboratorio te guiará por los pasos necesarios para auditar tus recursos de AWS a fin de asegurarte de que la configuración cumpla con las prácticas recomendadas de seguridad básicas. En este laboratorio, se usa AWS Trusted Advisor en lo que atañe a la seguridad. Los temas tratados incluyen el trabajo con grupos de seguridad, Multi-factor Authentication (MFA) y AWS Identity and Access Management (IAM).
Objetivos
Al finalizar este laboratorio, podrás hacer lo siguiente:
- Usar Trusted Advisor para llevar a cabo una auditoría básica de los recursos de AWS
- Modificar los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) para cumplir con las prácticas recomendadas
- Configurar Multi-factor Authentication (MFA) (opcional, requiere la instalación de software en un dispositivo móvil)
Conocimientos técnicos necesarios
Para completar correctamente este laboratorio, es necesario tener conocimientos de los servicios de AWS, incluido Amazon EC2, y una comprensión básica de los grupos de seguridad. Debes saber cómo iniciar sesión y usar la consola de administración de AWS, y tener cierta familiaridad con IAM.
Duración
El tiempo estimado para completar este laboratorio es de 90 minutos.
Clave de iconos
En este laboratorio se utilizan varios iconos para llamar la atención sobre diferentes tipos de instrucciones y notas. En la siguiente lista se explica el propósito de cada icono:
- Un ejemplo de resultado que puedes usar para comprobar el resultado de un paso o tarea que hayas llevado a cabo.
- Una pista, un consejo o una orientación importante.
- Información adicional: indica dónde encontrar más información.
Prácticas recomendadas de seguridad de AWS
Modelo de responsabilidad compartida
El modelo de seguridad de AWS es un modelo de responsabilidad compartida que requiere que AWS y los clientes trabajen de manera conjunta para lograr los objetivos de seguridad. AWS proporciona una infraestructura subyacente con altos niveles de seguridad y disponibilidad en la que operan todos los servicios de AWS. Las capas de seguridad de AWS incluyen la seguridad del hardware físico, las instalaciones, la infraestructura de red y la infraestructura de virtualización.
Las capas que se encuentran fuera del control directo de AWS requieren que el cliente asuma la responsabilidad de proteger de manera adecuada los recursos que usa en la infraestructura en la nube.
Protección de los recursos en la nube
AWS proporciona una variedad de controles que los clientes pueden usar para proteger sus activos de información en la nube. Estos incluyen IAM, Amazon Virtual Private Cloud (VPC), los grupos de seguridad, las ACL de red y los certificados.
A la hora de crear y mantener una infraestructura basada en la nube de AWS, es importante seguir las prácticas recomendadas para mantener los datos y los recursos protegidos.
Prácticas recomendadas para la seguridad, la identidad y el cumplimiento es una guía de referencia valiosa para comprender las prácticas recomendadas de seguridad de Amazon Web Services.
AWS Trusted Advisor
AWS Trusted Advisor proporciona prácticas recomendadas en las siguientes cinco categorías:
- Optimización de costes
- Seguridad
- Tolerancia a fallos
- Mejora del rendimiento
- Límites de servicio
Puedes usar más de 60 comprobaciones de AWS Trusted Advisor para supervisar y mejorar la Implementación de Amazon EC2, Elastic Load Balancing (ELB), Amazon Elastic Block Store (Amazon EBS), Amazon Simple Storage Service (Amazon S3), Amazon EC2 Auto Scaling, AWS Identity and Access Management (IAM), Amazon Relational Database Service (Amazon RDS), Amazon Route 53 y otros servicios. Puedes ver el estado general de los recursos de AWS y las estimaciones de ahorro en la página de recomendaciones de AWS Trusted Advisor.
AWS Trusted Advisor es especialmente útil para asegurarte de que sigues las prácticas recomendadas de seguridad. En este laboratorio, usarás las comprobaciones de seguridad gratuitas de AWS Trusted Advisor.
Precios de AWS Trusted Advisor
Si tienes un plan de Support básico y de Support para desarrolladores, puedes usar la consola de Trusted Advisor para acceder a todas las comprobaciones de la categoría de límites de servicio y a las siguientes comprobaciones de la categoría de seguridad:
Security Groups – Specific Ports Unrestricted (Grupos de seguridad: puertos específicos sin restricciones): revisa los grupos de seguridad para ver si hay reglas que permitan el acceso sin restricciones (0.0.0.0/0) a puertos específicos. El acceso sin restricciones aumenta las oportunidades de actividades maliciosas (piratería, ataques de denegación del servicio, pérdida de datos). Los puertos con el mayor riesgo se marcan en color rojo y aquellos con menos riesgo, en color amarillo. Los puertos marcados en color verde suelen ser usados por aplicaciones que requieren acceso sin restricciones, como HTTP y SMTP.
IAM Use (Uso de IAM): revisa el uso de IAM. Puedes usar IAM para crear usuarios, grupos y roles en AWS, y puedes usar los permisos para controlar el acceso a los recursos de AWS.
MFA on Root Account (MFA en la cuenta raíz): revisa la cuenta raíz y notifica si la autenticación multifactor (MFA) no está activada. Para una mayor seguridad, AWS recomienda la protección de las cuentas con MFA, que requiere que los usuarios introduzcan un código único de autenticación proveniente de su hardware de MFA o su dispositivo virtual cuando interactúan con la consola de AWS y los sitios web asociados.
Amazon EBS Public Snapshots (Instantáneas públicas de Amazon EBS): revisa la configuración de permisos de las instantáneas de los volúmenes de Amazon EBS y notifica si alguna de dichas instantáneas está marcada como pública. Cuando estableces una instantánea como pública, concedes a todas las cuentas y usuarios de AWS acceso a los datos de la instantánea. Si quieres compartir una instantánea con usuarios o cuentas específicos, márcala como privada y, luego, especifica los usuarios o cuentas con los que quieres compartir los datos de la instantánea.
Amazon RDS Public Snapshots (Instantáneas públicas de Amazon RDS): revisa la configuración de permisos de las instantáneas de bases de datos de Amazon RDS y notifica si alguna de dichas instantáneas está marcada como pública. Cuando estableces una instantánea como pública, concedes a todas las cuentas y usuarios de AWS acceso a los datos de la instantánea. Si quieres compartir una instantánea con usuarios o cuentas específicos, márcala como privada y, luego, especifica los usuarios o cuentas con los que quieres compartir los datos de la instantánea.
MFA on Root Account (MFA en la cuenta raíz): revisa la cuenta raíz y notifica si la autenticación multifactor (MFA) no está activada.
Algunas de estas comprobaciones se pueden usar como una auditoría muy básica de la configuración de seguridad. Para tener acceso total a las más de 60 comprobaciones, debes actualizar la cuenta a los planes de AWS Support Business o Enterprise.
Puede encontrar más información sobre los precios de AWS Support en Comparar los planes de AWS Support.
Dispositivos MFA
Los dispositivos de autenticación multifactor (MFA) pueden ser virtuales o físicos. La autenticación multifactor física requiere la compra de un hardware llavero transmisor o una tarjeta con pantalla de Gemalto. Como alternativa, puedes usar una de las varias aplicaciones de MFA virtual compatibles gratuitas que se encuentran disponibles para dispositivos móviles Android, iPhone, Windows y Blackberry. En este laboratorio, vas a configurar una aplicación de MFA virtual en un dispositivo móvil. Si este paso te genera intranquilidad, puedes saltarlo.
Consulta esta lista de aplicaciones de MFA virtual compatibles para ver si existe una opción para tu dispositivo móvil: Multi-Factor Authentication (MFA) para IAM
