Seguridad

Gestión de la postura de seguridad - Plataforma integrada de monitoreo de seguridad con AWS Security Hub

Explicamos el monitoreo integrado de seguridad con AWS Security Hub y la automatización de la detección de amenazas mediante la integración con GuardDuty. Presentamos la visualización del estado de cumplimiento de las mejores prácticas de seguridad y la gobernanza de seguridad en entornos multi-cuenta.

約 8 分で読めます

Importancia de la gestión de la postura de seguridad y Security Hub

En la gestión de seguridad de entornos en la nube, es importante integrar los hallazgos de múltiples servicios de seguridad y comprender de forma integral el estado de seguridad de toda la organización. AWS Security Hub es un servicio que agrega y gestiona de forma centralizada las alertas de seguridad y el estado de cumplimiento de todo el entorno AWS. Estandariza los hallazgos de múltiples servicios de seguridad de AWS como GuardDuty, Inspector, Macie, Firewall Manager e IAM Access Analyzer en el formato AWS Security Finding Format (ASFF) y los visualiza en un panel unificado. Mediante verificaciones automáticas basadas en estándares de seguridad (AWS Foundational Security Best Practices, CIS AWS Foundations Benchmark, PCI DSS), detecta continuamente configuraciones incorrectas y desviaciones de las mejores prácticas.

Estándares de seguridad y verificaciones automáticas de cumplimiento

Security Hub proporciona verificaciones automáticas basadas en múltiples estándares de seguridad. AWS Foundational Security Best Practices (FSBP) cubre las configuraciones de seguridad recomendadas por AWS, evaluando automáticamente cientos de elementos como el acceso público a buckets S3, el cifrado de volúmenes EBS, las políticas de contraseñas IAM y la habilitación de VPC Flow Logs. CIS AWS Foundations Benchmark es un benchmark estándar de la industria establecido por el Center for Internet Security que evalúa sistemáticamente las configuraciones de seguridad del entorno AWS. Cada elemento de verificación tiene una puntuación de seguridad asignada, permitiendo comprender numéricamente la postura de seguridad de toda la organización. En coordinación con las reglas de AWS Config, evalúa los cambios de configuración de recursos en tiempo real y detecta inmediatamente las configuraciones no conformes. A continuación se muestra un ejemplo de verificación de la puntuación de seguridad de Security Hub con AWS CLI. ```bash aws securityhub get-findings \ --filters '{"ComplianceStatus": [{"Value": "FAILED", "Comparison": "EQUALS"}]}' \ --max-items 10 \ --region ap-northeast-1 ``` Mediante acciones personalizadas, también es posible construir flujos de trabajo de remediación automática para hallazgos específicos.

Integración de detección de amenazas con GuardDuty

Los resultados de detección de amenazas de GuardDuty se agregan automáticamente en Security Hub y se pueden analizar de forma integrada con los hallazgos de otros servicios de seguridad. La información de amenazas detectada por GuardDuty, como llamadas API no autorizadas, minería de criptomonedas y comunicaciones con servidores C&C, se clasifica por gravedad en el panel de Security Hub, permitiendo priorizar la respuesta. Mediante la integración con EventBridge, los hallazgos que superan cierta gravedad se enrutan automáticamente a funciones Lambda, ejecutando respuestas automáticas como la invalidación de credenciales IAM comprometidas, la corrección de Security Groups y la notificación al equipo de seguridad mediante SNS. La función de insights de Security Hub permite el análisis de tendencias de hallazgos, la identificación de los recursos más afectados y la visualización de patrones de ataque. La integración con herramientas de seguridad de terceros (Splunk, PagerDuty, Jira) permite incorporar alertas de seguridad en los flujos de trabajo de gestión de incidentes existentes. Para obtener una visión general de la introducción al monitoreo de seguridad, libros relacionados (Amazon) son una referencia útil.

Gobernanza de seguridad en entornos multi-cuenta

Security Hub se integra con AWS Organizations para gestionar de forma centralizada la postura de seguridad de todo el entorno multi-cuenta. Desde la cuenta de administrador se habilita Security Hub en todas las cuentas miembro y se agregan los hallazgos. La agregación entre regiones integra los hallazgos de múltiples regiones en una sola región, permitiendo comprender la situación de seguridad global. La puntuación de seguridad de toda la organización permite identificar inmediatamente en qué cuentas o regiones se concentran los riesgos de seguridad. En coordinación con AWS Firewall Manager, se pueden aplicar de forma masiva reglas WAF, Security Groups y políticas de Network Firewall a toda la organización, imponiendo una línea base de seguridad. A continuación se muestra un ejemplo de CLI para habilitar Security Hub en todas las cuentas miembro con la integración de Organizations. ```bash aws securityhub create-members \ --account-details '[{"AccountId": "111122223333"}, {"AccountId": "444455556666"}]' \ --region ap-northeast-1 aws securityhub update-organization-configuration \ --auto-enable \ --region ap-northeast-1 ``` La generación automática de informes de seguridad periódicos optimiza la presentación de informes a la dirección y la respuesta a auditorías de cumplimiento.

Precios de Security Hub

Las verificaciones de seguridad cuestan aproximadamente 0.001 dólares por verificación para las primeras 100,000 verificaciones/mes. La ingesta de hallazgos es gratuita para los primeros 10,000 hallazgos/mes, y aproximadamente 0.00003 dólares por hallazgo a partir de entonces. Limite los estándares de seguridad habilitados a los necesarios y no habilite todos los estándares de forma uniforme para gestionar el número de verificaciones. Confirme los costos reales con la prueba gratuita de 30 días antes de la implementación en producción.

Resumen - Construcción de una plataforma integrada de monitoreo de seguridad

AWS Security Hub es una plataforma integrada de monitoreo de seguridad que gestiona de forma centralizada las alertas de seguridad y el estado de cumplimiento de todo el entorno AWS. Combinando verificaciones automáticas basadas en múltiples estándares de seguridad, integración de detección de amenazas con GuardDuty, respuesta automática mediante EventBridge y gestión multi-cuenta con Organizations, se logra una gestión integral de la postura de seguridad. En comparación con Microsoft Defender for Cloud, Security Hub tiene ventajas en la estandarización de hallazgos mediante ASFF, flujos de trabajo flexibles de remediación automática a través de EventBridge e integraciones preconstruidas con más de 60 productos de socios. La evaluación cuantitativa mediante puntuación de seguridad y los ciclos de mejora continua elevan el nivel de seguridad de toda la organización.

Servicios relacionados

AWS Security HubGestione centralmente la postura de seguridad de AWS y verifique automáticamente el cumplimiento de mejores prácticasAmazon GuardDutyUn servicio de detección de amenazas impulsado por aprendizaje automáticoAWS ConfigUn servicio que registra y evalúa cambios de configuración de recursos AWS y monitorea el cumplimiento continuamente

Artículos relacionados

Investigación de seguridad y análisis de amenazas - Eficiencia en la respuesta a incidentes con Amazon DetectiveExplicamos las técnicas de investigación de incidentes de seguridad y análisis de amenazas utilizando Amazon Detective. Presentamos el flujo de trabajo desde la detección hasta la investigación mediante la integración con GuardDuty y el método de identificación de causas raíz mediante análisis basado en grafos.Diseño de gestión de identidad y acceso - Lograr seguridad Zero Trust con IAMAprende técnicas de diseño de gestión de acceso con AWS IAM, incluyendo el principio de mínimo privilegio, diseño de políticas y lograr seguridad Zero Trust mediante integración con Cognito.Evaluación de vulnerabilidades y detección de amenazas - Monitoreo continuo de seguridad con Amazon Inspector y GuardDutyExplicamos el diseño y operación de la evaluación de vulnerabilidades y detección de amenazas utilizando Amazon Inspector y Amazon GuardDuty.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

Gestión centralizada de la postura de seguridad con AWS Security Hub - Agregación de hallazgos y respuesta automatizadaAgregamos los hallazgos de GuardDuty, Inspector y Macie en formato ASFF, cuantificamos la puntuación mediante la evaluación automática de estándares de seguridad y presentamos la remediación automática con integración de EventBridge.AWS Security HubServicio que visualiza centralmente la postura de seguridad de todo el entorno AWS, realizando evaluación automatizada contra estándares de seguridad de la industria y agregación de hallazgosEvaluación de vulnerabilidades y detección de amenazas - Monitoreo continuo de seguridad con Amazon Inspector y GuardDutyExplicamos el diseño y operación de la evaluación de vulnerabilidades y detección de amenazas utilizando Amazon Inspector y Amazon GuardDuty.El poder de integración de los servicios de seguridad de AWS - Detección nativa de amenazas sin SIEM, de GuardDuty a DetectiveExplicamos el mecanismo de detección nativa de amenazas mediante la integración de GuardDuty, Security Hub, Detective y Macie, comparando la diferencia de filosofía de diseño con Azure Sentinel.