Administración de operaciones

Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrail

Explica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.

約 7 分で読めます

Necesidad de logs de auditoría en entornos cloud

En entornos cloud, registrar con precisión quién realizó qué operación sobre qué recurso y cuándo es la base de la seguridad y el cumplimiento. AWS CloudTrail es un servicio que registra automáticamente todas las llamadas API dentro de una cuenta AWS, capturando tanto eventos de gestión (operaciones de consola, comandos CLI, llamadas SDK) como eventos de datos (acceso a objetos S3, ejecución de funciones Lambda). CloudTrail se habilita automáticamente al crear una cuenta AWS, permitiendo consultar gratuitamente el historial de eventos de los últimos 90 días. Por otro lado, CloudTrail permite almacenamiento indefinido simplemente configurando la entrega de trails a S3, y mediante la integración con Organizations se pueden gestionar de forma centralizada los logs de auditoría que abarcan cientos de cuentas. CloudTrail es ampliamente adoptado como base de evidencias de auditoría para cumplir con requisitos regulatorios como SOC 2, PCI DSS y HIPAA. Para verificar eventos recientes con CLI, se ejecuta aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=ConsoleLogin --max-results 5.

Configuración de trails de CloudTrail y almacenamiento a largo plazo en S3

Al crear un trail de CloudTrail, los logs de eventos se entregan continuamente a un bucket S3, permitiendo el almacenamiento a largo plazo más allá de 90 días. Los trails se pueden configurar por región o para todas las regiones, y al habilitar un trail multi-región, se registran sin omisión las operaciones sobre recursos desplegados globalmente. Los archivos de log almacenados en S3 se cifran con SSE-KMS, y la prevención de manipulación se garantiza mediante políticas de bucket y logs de acceso. Al habilitar la función de verificación de integridad de archivos de log, CloudTrail genera digests de los archivos de log, permitiendo verificar criptográficamente que los archivos no han sido manipulados. Combinado con políticas de ciclo de vida de S3, se puede migrar automáticamente a Glacier después de un período determinado, optimizando los costos de almacenamiento a largo plazo. La creación de un trail se ejecuta con CLI como aws cloudtrail create-trail --name my-org-trail --s3-bucket-name my-audit-bucket --is-multi-region-trail --enable-log-file-validation, habilitando la verificación de integridad de logs con la opción --enable-log-file-validation.

CloudTrail Lake y análisis avanzado con consultas

CloudTrail Lake es un data lake administrado que permite consultar directamente los logs de auditoría con SQL. Anteriormente, la configuración común era analizar los logs almacenados en S3 con Athena, pero con CloudTrail Lake se puede completar desde la ingesta de logs hasta las consultas en un único servicio. El event data store puede retener logs hasta 7 años, permitiendo configurar períodos de retención según los requisitos de cumplimiento. Las consultas SQL permiten analizar de forma flexible el historial de operaciones de usuarios IAM específicos, patrones de acceso a recursos específicos e intentos de escalación de privilegios. La función de dashboard permite visualizar los resultados de consultas y construir flujos de trabajo donde el equipo de seguridad genera informes de auditoría periódicamente. La integración con Organizations permite agregar eventos de toda la organización en un único data store para análisis transversal. Para quienes deseen aprender sistemáticamente sobre guías de operación de CloudTrail, los libros relacionados en Amazon también son una referencia útil.

Automatización de cumplimiento con integración de Config

Combinando CloudTrail con AWS Config, se puede construir un sistema de auditoría integral que correlaciona el historial de cambios de configuración de recursos con el historial de operaciones API. Config registra continuamente el estado de configuración de los recursos y evalúa automáticamente si la configuración cumple con las políticas mediante Config Rules. Por ejemplo, cuando se habilita el acceso público de un bucket S3, Config detecta el incumplimiento y CloudTrail permite identificar quién realizó ese cambio y cuándo. Usando Conformance Packs de Config, se pueden aplicar conjuntos de reglas basados en estándares de la industria como PCI DSS o CIS Benchmark de forma masiva, logrando la automatización de la evaluación de cumplimiento. Al configurar acciones de remediación, también es posible la corrección automática de recursos no conformes, automatizando el mantenimiento de la postura de seguridad.

Precios de CloudTrail

El primer trail de eventos de gestión es gratuito, y los trails adicionales cuestan aproximadamente 2.00 dólares por cada 100,000 eventos. Los eventos de datos cuestan aproximadamente 0.10 dólares por cada 100,000 eventos. Las consultas de CloudTrail Lake cuestan aproximadamente 0.005 dólares por GB escaneado, y el almacenamiento del event data store cuesta aproximadamente 0.025 dólares por GB al mes. Se gestionan los costos limitando los eventos de datos a buckets sensibles y funciones Lambda importantes, evitando la aplicación uniforme a todos los recursos.

Resumen

AWS CloudTrail, como base de logs de auditoría en entornos cloud, registra automáticamente toda la actividad API y cumple con los requisitos de seguridad y cumplimiento. El almacenamiento a largo plazo en S3 y la verificación de integridad aseguran la prevención de manipulación y la fiabilidad como evidencia legal. La función de consultas SQL de CloudTrail Lake proporciona un entorno de análisis más simple que la integración tradicional con Athena, mejorando la eficiencia de investigación del equipo de seguridad. La integración con AWS Config permite automatizar de forma consistente desde la detección de cambios de configuración hasta la identificación de causas y la remediación automática, reduciendo significativamente la carga de operaciones de cumplimiento. Para organizaciones que desean fortalecer el diseño y operación de logs de auditoría, el ecosistema de auditoría de AWS centrado en CloudTrail proporciona una solución integral.

Servicios relacionados

AWS CloudTrailUn servicio que registra y monitorea la actividad de API en cuentas AWSAmazon S3Servicio de almacenamiento de objetos escalableAWS ConfigUn servicio que registra y evalúa cambios de configuración de recursos AWS y monitorea el cumplimiento continuamente

Artículos relacionados

Gestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de serviciosExplicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.Registro de auditoría de API con AWS CloudTrail - Diseño de trails y análisis de seguridadRegistre toda la actividad de API y ejecute análisis avanzados con consultas SQL en CloudTrail Lake. Presentamos la detección automática de patrones anómalos con Insights y la detección en tiempo real mediante integración con EventBridge.

Más sobre este tema

El mecanismo de sincronización horaria interna de AWS - Amazon Time Sync Service y el diseño de smearing de segundos intercalaresExplicamos el mecanismo de Amazon Time Sync Service operado de forma independiente por AWS, la fuente de tiempo de alta precisión con GPS y relojes atómicos, la decisión de diseño de absorber los segundos intercalares mediante smearing y la importancia de la sincronización horaria en sistemas distribuidos.Centralización de registros de auditoría SaaS con AWS AppFabric - Estandarización OCSF e integración con Security LakeExplicamos la recopilación de registros de auditoría de aplicaciones SaaS con AppFabric, la estandarización al formato OCSF y la construcción de pipelines de análisis.Implementación de Feature Flags con AWS AppConfig - Despliegue seguro de configuración y rollbackDespliega cambios de configuración de forma independiente al código mediante estrategias Linear y Exponential. Garantiza la seguridad con rollback automático activado por alarmas de CloudWatch.Revisión de arquitectura - Evaluación sistemática de cargas de trabajo con AWS Well-Architected ToolExplica la revisión de arquitectura de cargas de trabajo usando AWS Well-Architected Tool. Presenta la evaluación basada en 6 pilares, la elaboración de planes de mejora y el uso de lentes personalizados.Lecciones de sistemas distribuidos de los informes de incidentes (COE) de AWS - Principios de diseño que cambiaron las grandes interrupciones del pasadoA partir de los Correction of Errors (COE) e informes de incidentes publicados por AWS, explicamos las causas raíz de grandes incidentes pasados como la interrupción de S3, la interrupción de DNS en us-east-1 y la interrupción de Kinesis, y cómo cambiaron los principios de diseño de AWS.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.Por qué existen las cuotas de servicio de AWS - Diseño multitenant que protege la infraestructura compartidaExplicamos que las cuotas de servicio de AWS (antes límites de servicio) no son simples restricciones sino un diseño para proteger a otros clientes en un entorno multitenant, desde el problema del vecino ruidoso, la diferencia entre límites soft y hard, y el trasfondo de las solicitudes de aumento.Gestion centralizada de backups con AWS Backup - Planes de backup y proteccion cross-regionGestione backups de EC2, RDS, DynamoDB y mas bajo una politica unificada. Cubre la proteccion WORM con Vault Lock y la automatizacion de pruebas de restauracion.

Artículos y servicios similares

Registro de auditoría de API con AWS CloudTrail - Diseño de trails y análisis de seguridadRegistre toda la actividad de API y ejecute análisis avanzados con consultas SQL en CloudTrail Lake. Presentamos la detección automática de patrones anómalos con Insights y la detección en tiempo real mediante integración con EventBridge.CloudTrail lo ve todo - Mecanismo de registro de llamadas API y práctica de investigación forenseExplicamos cómo CloudTrail registra las llamadas a la API de AWS, las diferencias entre eventos de administración y eventos de datos, el análisis SQL con CloudTrail Lake y las técnicas de investigación forense ante incidentes de seguridad.AWS CloudTrailServicio de auditoría y seguridad que registra automáticamente las llamadas API dentro de la cuenta AWS, permitiendo rastrear quién hizo qué y cuándoConstrucción de un data lake de seguridad con Amazon Security Lake - Análisis integrado en formato OCSFExplicamos la agregación automática de CloudTrail, VPC Flow Logs y logs de Route 53 con Security Lake, la normalización OCSF y la integración con suscriptores.