Administración de operaciones

Monitoreo continuo de cumplimiento con AWS Config - Evaluación de reglas y remediación automática

Explicamos el registro de configuración de recursos con AWS Config, la evaluación de cumplimiento con reglas de Config y la configuración de acciones de remediación automática.

約 7 分で読めます

Descripción general de Config

AWS Config es un servicio que registra continuamente los cambios de configuración de recursos de AWS y evalúa automáticamente el cumplimiento. Se registran todos los cambios de configuración, incluyendo cambios en grupos de seguridad de instancias EC2, cambios en la configuración de acceso público de buckets S3 y cambios en políticas IAM. Con más de 200 reglas administradas, puede definir condiciones como "el acceso público del bucket S3 debe estar bloqueado" y detectar automáticamente recursos no conformes. Cada elemento de configuración (Configuration Item) incluye metadatos del recurso, atributos, relaciones con otros recursos y una instantánea de configuración, permitiendo reconstruir el estado del recurso en cualquier momento.

Reglas y remediación automática

Las reglas administradas son reglas predefinidas proporcionadas por AWS, con más de 200 disponibles incluyendo s3-bucket-public-read-prohibited, ec2-instance-no-public-ip e iam-password-policy. Las reglas personalizadas implementan lógica de evaluación propia con funciones Lambda. Las reglas Guard definen políticas usando la sintaxis declarativa de AWS CloudFormation Guard, permitiendo crear reglas personalizadas sin escribir código Lambda. La remediación automática ejecuta documentos de SSM Automation al detectar recursos no conformes - por ejemplo, bloqueando automáticamente el acceso público de un bucket S3. Las acciones de remediación pueden incluir un paso de aprobación manual para prevenir cambios no deseados en producción. Los triggers pueden ser por cambio (evaluación inmediata al cambiar el recurso) o periódicos (1, 3, 6, 12 o 24 horas); aplicar triggers periódicos a reglas con cambios infrecuentes reduce costos.

Paquetes de conformidad y agregación

Los paquetes de conformidad son plantillas que empaquetan múltiples reglas de Config y acciones de remediación. Hay paquetes predefinidos para marcos de cumplimiento como CIS Benchmark, PCI DSS y NIST 800-53. Los paquetes personalizados definen conjuntos de reglas específicos de la organización y se despliegan en masa con Organizations. El agregador de Config consolida datos de cumplimiento de múltiples cuentas y regiones en una sola cuenta, proporcionando un dashboard del estado de cumplimiento organizacional. Las consultas avanzadas permiten búsquedas entre cuentas como "encontrar todos los recursos con volúmenes EBS no cifrados en todas las cuentas". Para aprender sobre cumplimiento y gobernanza en la nube, consulte libros en Amazon.

Mejores prácticas de diseño y errores comunes

Al habilitar Config, registrar todos los tipos de recursos causa una explosión en el número de elementos de configuración con costos significativos. Comience registrando solo tipos de recursos críticos para la seguridad (IAM, S3, EC2, RDS) y expanda gradualmente. Una consideración clave con la remediación automática es el riesgo de remediación en cascada, donde una acción de remediación desencadena otra violación de regla. Por ejemplo, una remediación que elimina reglas de entrada de grupos de seguridad podría interrumpir la comunicación de aplicaciones. Ejecute la remediación automática primero en modo DryRun para verificar resultados, luego automatice incrementalmente. Al desplegar reglas en toda la organización, gestione listas de exclusión para ciertas cuentas (sandboxes, entornos de desarrollo) para evitar evaluaciones excesivas. El registro de Config y el registro de CloudTrail son complementarios - Config registra "qué cambió" mientras CloudTrail registra "quién hizo el cambio" - por lo que las investigaciones de incidentes usan ambos juntos.

Integración de Config con Security Hub

AWS Security Hub agrega automáticamente los resultados de evaluación de reglas de Config y los visualiza como puntuaciones de seguridad. Al habilitar Security Hub se despliegan automáticamente reglas de Config para CIS AWS Foundations Benchmark y AWS Foundational Security Best Practices, mostrando el estado de cumplimiento de cada recurso como un scorecard. Mientras Config solo agrega evaluaciones individuales vía Aggregator, Security Hub las organiza como hallazgos priorizados clasificados en severidad Critical, High, Medium y Low. En la práctica, Config sirve como el motor para definición de reglas, evaluación personalizada y remediación automática, mientras Security Hub funciona como el dashboard de visualización de postura de seguridad organizacional. Un patrón común es enrutar violaciones de reglas de Config a través de Security Hub hacia EventBridge para creación automática de tickets o notificaciones de Slack.

Optimización de costos de Config

Los precios de Config consisten en elementos de configuración registrados (aproximadamente $0.003 cada uno), evaluaciones de reglas (aproximadamente $0.001 por evaluación) y evaluaciones de paquetes de conformidad. Habilitar el registro de todos los tipos de recursos resulta en un número enorme de elementos de configuración, así que registre solo los tipos necesarios para el cumplimiento. Use una combinación de evaluación periódica (cada 24 horas) y por trigger de cambio, aplicando evaluación periódica a recursos que cambian infrecuentemente. Las consultas avanzadas de Config están disponibles sin cargo adicional y pueden usarse para informes de cumplimiento. Para cuentas con muchas reglas, usar triggers de cambio para reducir re-evaluaciones contra recursos cuyos resultados no han cambiado impacta directamente la eficiencia de costos.

Resumen

AWS Config es un servicio que registra cambios de configuración de recursos y evalúa continuamente el cumplimiento. Despliegue conjuntos de reglas de CIS Benchmark o PCI DSS en masa con paquetes de conformidad y visualice el estado de cumplimiento organizacional con agregadores. Automatice desde la detección hasta la corrección de recursos no conformes con remediación automática, manteniendo el cumplimiento continuo.

Servicios relacionados

AWS ConfigUn servicio que registra y evalúa cambios de configuración de recursos AWS y monitorea el cumplimiento continuamenteAWS OrganizationsServicio para gestionar centralmente múltiples cuentas de AWSAWS Systems ManagerServicio unificado para gestionar y operar recursos de AWS e infraestructura híbrida

Artículos relacionados

Construcción de un entorno multicuenta con AWS Control Tower - Landing Zone y barandillas de seguridadEstablezca la gobernanza de su entorno multicuenta con la construcción automatizada de landing zones y la aplicación de políticas mediante barandillas de seguridad. También se presenta la creación automatizada de cuentas con Account Factory.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Registro de auditoría de API con AWS CloudTrail - Diseño de trails y análisis de seguridadRegistre toda la actividad de API y ejecute análisis avanzados con consultas SQL en CloudTrail Lake. Presentamos la detección automática de patrones anómalos con Insights y la detección en tiempo real mediante integración con EventBridge.

Más sobre este tema

El mecanismo de sincronización horaria interna de AWS - Amazon Time Sync Service y el diseño de smearing de segundos intercalaresExplicamos el mecanismo de Amazon Time Sync Service operado de forma independiente por AWS, la fuente de tiempo de alta precisión con GPS y relojes atómicos, la decisión de diseño de absorber los segundos intercalares mediante smearing y la importancia de la sincronización horaria en sistemas distribuidos.Centralización de registros de auditoría SaaS con AWS AppFabric - Estandarización OCSF e integración con Security LakeExplicamos la recopilación de registros de auditoría de aplicaciones SaaS con AppFabric, la estandarización al formato OCSF y la construcción de pipelines de análisis.Implementación de Feature Flags con AWS AppConfig - Despliegue seguro de configuración y rollbackDespliega cambios de configuración de forma independiente al código mediante estrategias Linear y Exponential. Garantiza la seguridad con rollback automático activado por alarmas de CloudWatch.Revisión de arquitectura - Evaluación sistemática de cargas de trabajo con AWS Well-Architected ToolExplica la revisión de arquitectura de cargas de trabajo usando AWS Well-Architected Tool. Presenta la evaluación basada en 6 pilares, la elaboración de planes de mejora y el uso de lentes personalizados.Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.Lecciones de sistemas distribuidos de los informes de incidentes (COE) de AWS - Principios de diseño que cambiaron las grandes interrupciones del pasadoA partir de los Correction of Errors (COE) e informes de incidentes publicados por AWS, explicamos las causas raíz de grandes incidentes pasados como la interrupción de S3, la interrupción de DNS en us-east-1 y la interrupción de Kinesis, y cómo cambiaron los principios de diseño de AWS.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.Por qué existen las cuotas de servicio de AWS - Diseño multitenant que protege la infraestructura compartidaExplicamos que las cuotas de servicio de AWS (antes límites de servicio) no son simples restricciones sino un diseño para proteger a otros clientes en un entorno multitenant, desde el problema del vecino ruidoso, la diferencia entre límites soft y hard, y el trasfondo de las solicitudes de aumento.

Artículos y servicios similares

AWS ConfigServicio que registra y evalúa continuamente los cambios de configuración de recursos AWS, logrando auditoría automatizada basada en reglas de compliance y seguimiento del historial de configuraciónGestión centralizada de la postura de seguridad con AWS Security Hub - Agregación de hallazgos y respuesta automatizadaAgregamos los hallazgos de GuardDuty, Inspector y Macie en formato ASFF, cuantificamos la puntuación mediante la evaluación automática de estándares de seguridad y presentamos la remediación automática con integración de EventBridge.Gestión de la postura de seguridad - Plataforma integrada de monitoreo de seguridad con AWS Security HubExplicamos el monitoreo integrado de seguridad con AWS Security Hub y la automatización de la detección de amenazas mediante la integración con GuardDuty. Presentamos la visualización del estado de cumplimiento de las mejores prácticas de seguridad y la gobernanza de seguridad en entornos multi-cuenta.AWS Security HubServicio que visualiza centralmente la postura de seguridad de todo el entorno AWS, realizando evaluación automatizada contra estándares de seguridad de la industria y agregación de hallazgos