Editor Top
|
|
Hoy, me complace anunciar la disponibilidad general de eventos de actividad de red para los puntos finales de Amazon Virtual Private Cloud (Amazon VPC) en AWS CloudTrail. Esta característica le ayuda a registrar y monitorear la actividad de la API de AWS que atraviesa sus puntos finales VPC, lo que le ayuda a fortalecer su perímetro de datos e implementar mejores controles de detectives.
Anteriormente, era difícil detectar posibles intentos de exfiltración de datos y acceso no autorizado a los recursos dentro de su red a través de puntos finales VPC. Si bien las políticas de punto final de VPC podrían configurarse para evitar el acceso desde cuentas externas, no había un mecanismo incorporado para registrar acciones o detectar cuándo se usaron credenciales externas en un punto final VPC. Esto a menudo requería que cree soluciones personalizadas para inspeccionar y analizar el tráfico de TLS, lo que podría ser operacionalmente costoso y negar los beneficios de las comunicaciones cifradas.
Con esta nueva capacidad, ahora puede optar por registrar toda la actividad de AWS API pasando a través de sus puntos finales VPC. CloudTrail registra estos eventos como un nuevo tipo de evento llamado eventos de actividad de red, que capturan acciones de plano de control y plano de datos que pasan a través de un punto final VPC.
Los eventos de actividad de red en CloudTrail proporcionan varios beneficios clave:
- Visibilidad integral – Registre toda la actividad de API que atraviesa los puntos finales VPC, independientemente de la cuenta de AWS que inicie la acción.
- Detección de credenciales externas – Identifique cuándo las credenciales desde fuera de su organización están accediendo a su punto final VPC.
- Prevención de exfiltración de datos – Detectar e investigar posibles intentos de movimiento de datos no autorizados.
- Monitoreo de seguridad mejorado – Obtenga información sobre toda la actividad de AWS API en sus puntos finales VPC sin la necesidad de descifrar el tráfico TLS.
- Visibilidad para el cumplimiento regulatorio – Mejore su capacidad para cumplir con los requisitos reglamentarios rastreando toda la actividad de API que pasa.
Comenzando con eventos de actividad de red para el registro de puntos finales de VPC
Para habilitar eventos de actividad de red, voy a la consola de AWS CloudTrail y elijo Senderos En el panel de navegación. Yo elijo Crear rastro para crear uno nuevo. Entro en un nombre en el Nombre de sendero Campo y elija un cubo de servicio de almacenamiento simple de Amazon (Amazon S3) para almacenar los registros de eventos. Cuando creo un sendero en CloudTrail, puedo especificar un cubo de Amazon S3 existente o crear un nuevo cubo para almacenar los registros de eventos de mi sendero.
Si te configuras Cifrado del archivo de registro del archivo SSE-KMS a Activadotienes dos opciones: elige Nuevo Para crear una nueva clave del servicio de gestión de claves de AWS (AWS KMS) o elegir Existente para elegir una tecla KMS existente. Si eliges Nuevonecesitas escribir un alias en el AWS KMS alias campo. CloudTrail encripta sus archivos de registro con esta tecla KMS y agrega la política por usted. KMS Key y Amazon S3 deben estar en la misma región de AWS. Para este ejemplo, uso una tecla KMS existente. Entro en el alias en el AWS KMS alias campo y deje el resto como predeterminado para esta demostración. Yo elijo Próximo para el siguiente paso.
En el Elija eventos de registro paso, elijo Eventos de actividad de red bajo Eventos. Elijo la fuente del evento de la lista de servicios de AWS, como cloudtrail.amazonaws.com, ec2.amazonaws.com, kms.amazonaws.com, s3.amazonaws.comy secretsmanager.amazonaws.com. Agrego dos fuentes de eventos de actividad de red para esta demostración. Para la primera fuente, selecciono ec2.amazonaws.com opción. Para Plantilla selectora de registroPuedo usar plantillas para casos de uso comunes o crear filtros de grano fino para escenarios específicos. Por ejemplo, para registrar todas las actividades de API que atraviesan el punto final de VPC, puedo elegir el Registre todos los eventos plantilla. Yo elijo Acceso a la red de registro Acceso a eventos denegados plantilla para registrar solo acceder a los eventos denegados. Opcionalmente, puedo ingresar un nombre en el Nombre selector campo para identificar la plantilla del selector de registro, como Incluir eventos de actividad de red para Amazon EC2.
Como segundo ejemplo, elijo Costumbre para crear filtros personalizados en múltiples campos, como nombre de evento y vpcendpointid. Puedo especificar ID específicas de punto final VPC o filtrar los resultados para incluir solo los puntos finales VPC que coinciden con criterios específicos. Para Selectores de eventos avanzados, Yo elijo vpcendpointid desde Campo desplegable, elija iguales como Operadore ingrese la ID de punto final VPC. Cuando amplio la vista JSON, puedo ver mis selectores de eventos como un bloque JSON. Yo elijo Próximo y después de revisar las selecciones, elijo Crear rastro.
Después de configurarlo, CloudTrail comenzará a registrar eventos de actividad de red para mis puntos finales VPC, ayudándome a analizar y actuar en estos datos. Para analizar los eventos de actividad de la red de AWS CloudTrail, puede usar la consola CloudTrail, la interfaz de línea de comandos AWS (AWS CLI) y AWS SDK para recuperar registros relevantes. También puede usar CloudTrail Lake para capturar, almacenar y analizar los eventos de actividad de su red. Si está utilizando senderos, puede usar Amazon Athena para consultar y filtrar estos eventos basados en criterios específicos. El análisis regular de estos eventos puede ayudarlo a mantener la seguridad, cumplir con las regulaciones y optimizar su infraestructura de red en AWS.
Ahora disponible
Los eventos de actividad de la red CloudTrail para el registro de puntos finales de VPC le proporcionan una herramienta poderosa para mejorar su postura de seguridad, detectar posibles amenazas y obtener información más profunda sobre el tráfico de su red VPC. Esta característica aborda sus necesidades críticas de visibilidad y control integrales sobre sus entornos de AWS.
Los eventos de actividad de red para puntos finales VPC están disponibles en todas las regiones comerciales de AWS.
Para obtener información sobre precios, visite los precios de AWS CloudTrail.
Para comenzar con los eventos de actividad de la red CloudTrail, visite AWS CloudTrail. Para obtener más información sobre CloudTrail y sus características, consulte la documentación de AWS CloudTrail.
