¿Cómo administro varias cuentas de AWS?
Administrar diferentes cuentas de Amazon AWS por motivos de seguridad no resulta tan sencillo como a simple vista puede parecer. AWS ofrece una variedad de servicios y características que permiten un control flexible de los recursos de computación en la nube y también de las cuentas de AWS que administran esos recursos.
A nivel de la cuenta, estas opciones están diseñadas para ayudar a proporcionar una asignación de costos, agilidad y seguridad adecuadas, sin embargo, los clientes a veces no están seguros de cómo implementar mejor una estrategia de cuenta, especialmente cuando trabajan con múltiples cuentas de AWS.
Este post proporciona a nuestros lectores consideraciones de nivel de cuenta, mejores prácticas y orientación estratégica de alto nivel para ayudar a estructurar y administrar varias cuentas de AWS por motivos de seguridad.
Mejores Prácticas Generales
Los clientes aprovechan los servicios de AWS para aumentar la velocidad y la agilidad del negocio, por lo que es común que las estructuras de cuentas de AWS cambien con el tiempo. Dicho esto, la seguridad de la cuenta de AWS es incluso más fácil de administrar cuando se implementa de manera consistente y uniforme. Por lo tanto, al considerar una estrategia de seguridad para varias cuentas, le recomendamos que no diseñe en exceso su estructura de cuenta inicial en un intento por crear un conjunto perfecto e inmutable de cuentas de AWS.
En su lugar, determine las diferentes formas en que su empresa utilizará las cuentas de AWS y adopte un enfoque iterativo para estructurarlas y protegerlas. Con la adaptabilidad en mente, considera estas mejores prácticas de seguridad de cuenta:
Definir claramente un proceso de creación de cuentas de AWS. Comprender quién en su empresa está creando cuentas de AWS y para qué se utilizará cada cuenta es una parte esencial de la estrategia de seguridad de una cuenta de AWS. Muchas empresas crean un proceso centralizado para crear cuentas de AWS; sin embargo, la centralización no es necesaria siempre que el proceso esté bien definido y le permita a una empresa mantener un inventario de cuenta.
Defina una política de uso de AWS para toda la empresa. Implemente políticas de uso de AWS bien definidas y revíselas con las partes interesadas de la compañía para alinear los requisitos de seguridad y negocios. Esto permite a los clientes aprovechar AWS sin confusión interna sobre lo que está o no dentro de las directrices de política. Una política de uso de AWS debe incluir los requisitos básicos mínimos de seguridad de una compañía para las diferentes formas en que usarán AWS, como por ejemplo qué servicios están aprobados para su uso o qué funciones de seguridad o cifrado deben habilitarse.
Cree una estructura de cuenta de seguridad para administrar varias cuentas. La creación de una relación de seguridad entre cuentas hace que sea aún más fácil para las empresas evaluar la seguridad de las implementaciones basadas en AWS, centralizar la supervisión y la gestión de la seguridad, administrar la identidad y el acceso, y proporcionar servicios de supervisión de auditoría y cumplimiento.
Consideraciones de Implementación
Las siguientes secciones ofrecen consejos y pautas para ayudar a identificar la estrategia de seguridad adecuada para administrar varias cuentas de AWS. Evalúe sus políticas de seguridad actuales y aproveche la estructura de una cuenta de AWS que facilitará el cumplimiento de sus objetivos de TI y seguridad.
Cuándo crear múltiples cuentas
Si bien no hay una respuesta única, la mayoría de las compañías querrán crear más de una cuenta de AWS porque las cuentas múltiples proporcionan el nivel más alto de aislamiento de recursos y seguridad. Contestar «sí» a cualquiera de las siguientes preguntas es una buena indicación de que debería considerar crear cuentas de AWS adicionales:
¿Requiere la empresa aislamiento administrativo entre cargas de trabajo?
El aislamiento administrativo por cuenta proporciona el enfoque más directo para otorgar a los grupos administrativos independientes diferentes niveles de control administrativo sobre los recursos de AWS en función de la carga de trabajo, el ciclo de vida del desarrollo, la unidad de negocios (BU) o la sensibilidad de los datos.
¿El negocio requiere visibilidad y capacidad de descubrimiento limitadas de las cargas de trabajo?
Las cuentas proporcionan un límite natural para la visibilidad. Las cargas de trabajo no se pueden acceder ni ver a menos que un administrador de la cuenta permita el acceso a los usuarios administrados en otra cuenta.
¿El negocio requiere aislamiento para minimizar el radio de explosión?
El aislamiento por radio de ráfaga por cuenta proporciona un mecanismo para limitar el impacto de un evento crítico como una brecha de seguridad, si una región o zona de disponibilidad de AWS no está disponible, suspensiones de cuentas, etc. Cuentas separadas ayudan a definir los límites y proporcionan un aislamiento natural del radio de ráfaga .
¿El negocio requiere un fuerte aislamiento de los datos de recuperación y / o auditoría?
Las empresas que deben controlar el acceso y la visibilidad de los datos de auditoría debidos a los requisitos reglamentarios pueden aislar sus datos de recuperación y / o los datos de auditoría en una cuenta separada de donde ejecutan sus cargas de trabajo (por ejemplo, escribir los registros de CloudTrail en una cuenta diferente).
Cuándo crear una estructura de cuenta de seguridad
La mayoría de los clientes de AWS con múltiples cuentas de AWS les gustaría organizarlos en algún tipo de jerarquía de seguridad. Si responde «sí» a cualquiera de las siguientes preguntas, es una buena indicación de que debe considerar establecer una o más relaciones de seguridad entre cuentas de AWS:
¿Quieres administrar las identidades de usuario de AWS en una cuenta y federar el acceso a otras cuentas?
¿Desea almacenar, asegurar, analizar e informar de manera centralizada sobre los datos de registro generados por AWS de servicios como AWS CloudTrail, AWS Config, Amazon S3, Amazon CloudFront, Elastic Load Balancing o Amazon VPC Flow Logs?
¿Necesitas administrar centralmente los servicios de Amazon Elastic Compute Cloud (Amazon EC2), Amazon Machine Images (AMI) o AWS Service Catalog?
Gracias por leer nuestro blog, participar y compartir.