Seguridad

Evaluación de vulnerabilidades y detección de amenazas - Monitoreo continuo de seguridad con Amazon Inspector y GuardDuty

Explicamos el diseño y operación de la evaluación de vulnerabilidades y detección de amenazas utilizando Amazon Inspector y Amazon GuardDuty.

約 8 分で読めます

Importancia de la evaluación de vulnerabilidades en la seguridad en la nube

Para mantener la seguridad del entorno en la nube, es esencial la detección temprana de vulnerabilidades y el monitoreo continuo de amenazas. Las vulnerabilidades de software se descubren diariamente, y se registran más de 20.000 vulnerabilidades al año en la base de datos CVE (Common Vulnerabilities and Exposures). En entornos on-premises, es necesario implementar escáneres de vulnerabilidades como Nessus o Qualys, y gestionar manualmente los programas de escaneo periódico, el análisis de resultados y la priorización de parches. AWS proporciona dos servicios de seguridad gestionados, Amazon Inspector y Amazon GuardDuty, que automatizan la evaluación de vulnerabilidades y la detección de amenazas. Inspector escanea continuamente las vulnerabilidades de las cargas de trabajo, y GuardDuty detecta amenazas en tiempo real en todo el entorno AWS. Al combinar ambos servicios, se puede construir una postura de seguridad integral que cubra tanto la seguridad preventiva (eliminación de vulnerabilidades) como la seguridad detectiva (descubrimiento de amenazas).

Escaneo continuo de vulnerabilidades con Amazon Inspector

Amazon Inspector es un servicio que escanea automática y continuamente las vulnerabilidades de instancias EC2, funciones Lambda e imágenes de contenedores ECR. A diferencia del escaneo periódico tradicional, Inspector realiza una reevaluación automática cada vez que se publica un nuevo CVE, identificando inmediatamente los recursos afectados. Para instancias EC2, escanea tanto paquetes del sistema operativo como paquetes de lenguajes de programación, proporcionando una puntuación de vulnerabilidad basada en CVE (CVSS) y una puntuación de riesgo propia de AWS. La puntuación de riesgo de AWS considera, además de la gravedad de la vulnerabilidad, la accesibilidad de red y la disponibilidad de exploits para una priorización práctica. El escaneo de imágenes de contenedores ECR se ejecuta automáticamente al hacer push de la imagen, permitiendo verificaciones de vulnerabilidades previas al despliegue al integrarse en el pipeline CI/CD. A continuación se muestra un ejemplo de verificación de resultados de escaneo de Inspector con AWS CLI. ```bash # Obtener hallazgos de Inspector ordenados por gravedad aws inspector2 list-findings \ --filter-criteria '{"severity": [{"comparison": "EQUALS", "value": "CRITICAL"}]}' \ --sort-criteria '{"field": "SEVERITY", "sortOrder": "DESC"}' \ --region ap-northeast-1 ``` El escaneo de vulnerabilidades de Microsoft Defender for Cloud está basado en el agente Qualys, requiriendo la instalación y gestión del agente. Inspector permite iniciar la evaluación de vulnerabilidades sin instalar software adicional mediante escaneo sin agente utilizando SSM Agent.

Detección de amenazas y respuesta a incidentes con Amazon GuardDuty

Amazon GuardDuty es un servicio que utiliza machine learning e inteligencia de amenazas para detectar actividades maliciosas o comportamientos no autorizados en el entorno AWS. Analiza automáticamente VPC Flow Logs, eventos de CloudTrail y logs de consultas DNS para detectar amenazas como minería de criptomonedas, llamadas API no autorizadas, exfiltración de datos y comunicaciones de malware. GuardDuty comienza a funcionar simplemente al habilitarlo, sin necesidad de configurar la recopilación de logs ni la infraestructura de análisis. Los hallazgos se clasifican por gravedad (High, Medium, Low) y se pueden gestionar centralizadamente mediante la integración con Security Hub. GuardDuty Malware Protection proporciona escaneo de malware de instancias EC2 y volúmenes EBS, ejecutando automáticamente el escaneo cuando se detecta actividad sospechosa. GuardDuty EKS Protection analiza los logs de auditoría de Kubernetes para detectar amenazas específicas de entornos de contenedores. Mediante la integración con EventBridge, se pueden implementar acciones de remediación automática (cambios en Security Groups, deshabilitación de políticas IAM, etc.) con funciones Lambda basadas en los hallazgos. Para aprender sistemáticamente sobre gestión de vulnerabilidades en la nube, también puede consultar libros relacionados (Amazon).

Operación integrada de Inspector y GuardDuty

Al combinar Inspector y GuardDuty, se puede lograr una operación de seguridad que integra la gestión de vulnerabilidades y la detección de amenazas. La información de vulnerabilidades detectada por Inspector y la información de amenazas detectada por GuardDuty se consolidan en AWS Security Hub. Security Hub unifica esta información en AWS Security Finding Format (ASFF) y proporciona priorización y visualización en dashboard. Como flujo operativo práctico, es efectiva una configuración donde se aplican parches automáticos con Systems Manager Patch Manager cuando Inspector detecta vulnerabilidades de alto riesgo, y se ejecuta aislamiento automático mediante funciones Lambda vía EventBridge cuando GuardDuty detecta amenazas. A continuación se muestra un ejemplo de configuración de regla EventBridge para notificar hallazgos CRITICAL de Inspector a SNS. ```json { "source": ["aws.inspector2"], "detail-type": ["Inspector2 Finding"], "detail": { "severity": ["CRITICAL"] } } ``` Mediante la integración con Organizations, es posible la gestión centralizada de seguridad incluso en entornos multi-cuenta. Desde la cuenta de administrador delegado se pueden consolidar y gestionar los resultados de escaneo de Inspector y los hallazgos de GuardDuty de todas las cuentas miembro. Microsoft Defender for Cloud también ofrece gestión integrada, pero AWS logra una operación de seguridad flexible que incluye la integración con herramientas de terceros mediante la estandarización ASFF de Security Hub.

Precios de Inspector y GuardDuty

El escaneo EC2 de Inspector cuesta aproximadamente 1,258 USD mensuales por instancia, el escaneo de contenedores ECR cuesta aproximadamente 0,09 USD por imagen inicial + 0,01 USD por re-escaneo. El escaneo de funciones Lambda cuesta aproximadamente 0,30 USD mensuales por función. GuardDuty cobra aproximadamente 4,00 USD por millón de eventos de gestión de CloudTrail, y aproximadamente 1,00 USD por GB de VPC Flow Logs. Ambos servicios ofrecen una prueba gratuita de 30 días.

Resumen - Construcción de monitoreo continuo de seguridad

Con el escaneo continuo de vulnerabilidades de Inspector y la puntuación de riesgo propia de AWS, se pueden abordar las vulnerabilidades con priorización práctica. La detección de amenazas basada en machine learning de GuardDuty también captura amenazas avanzadas que son difíciles de descubrir con la detección tradicional basada en reglas. Al combinar la gestión integrada con Security Hub y la remediación automática con EventBridge, se puede reducir significativamente el tiempo desde la detección hasta la respuesta. Comparado con Microsoft Defender for Cloud, Inspector tiene ventajas en la reevaluación automática al publicarse CVEs y el escaneo sin agente, mientras que GuardDuty destaca en la detección basada en machine learning sin necesidad de definir reglas.

Servicios relacionados

Amazon InspectorServicio que escanea automáticamente instancias EC2, imágenes de contenedores y funciones Lambda en busca de vulnerabilidadesAmazon GuardDutyUn servicio de detección de amenazas impulsado por aprendizaje automático

Artículos relacionados

Gestión de la postura de seguridad - Plataforma integrada de monitoreo de seguridad con AWS Security HubExplicamos el monitoreo integrado de seguridad con AWS Security Hub y la automatización de la detección de amenazas mediante la integración con GuardDuty. Presentamos la visualización del estado de cumplimiento de las mejores prácticas de seguridad y la gobernanza de seguridad en entornos multi-cuenta.Registro de auditoría de API con AWS CloudTrail - Diseño de trails y análisis de seguridadRegistre toda la actividad de API y ejecute análisis avanzados con consultas SQL en CloudTrail Lake. Presentamos la detección automática de patrones anómalos con Insights y la detección en tiempo real mediante integración con EventBridge.Gestión de imágenes de contenedor con Amazon ECR - Políticas de ciclo de vida y escaneo de imágenesPresentamos patrones operativos para eliminar automáticamente imágenes antiguas con políticas de ciclo de vida en repositorios privados y detectar vulnerabilidades con escaneo de imágenes.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

Escaneo automatizado de vulnerabilidades con Amazon Inspector - Evaluación continua de seguridad para EC2, Lambda y ECREscanea automáticamente instancias EC2, imágenes de contenedores ECR y funciones Lambda en busca de vulnerabilidades y priorízalas con puntuaciones de riesgo basadas en CVE. Aprende a lograr escaneo sin agente mediante integración con Systems Manager.Amazon InspectorServicio de evaluación de seguridad que escanea automática y continuamente vulnerabilidades en instancias EC2, funciones Lambda e imágenes de contenedorDetección de amenazas con Amazon GuardDuty - Detección de anomalías basada en ML y respuesta a incidentesAprende cómo GuardDuty detecta amenazas, clasifica hallazgos e integra con Security Hub para la respuesta a incidentes.