|
|
Hoy en día, los clientes de las industrias reguladas enfrentan el desafío de definir y hacer cumplir los controles necesarios para cumplir con los requisitos de cumplimiento y seguridad, al mismo tiempo que capacitan a los ingenieros para que tomen sus decisiones de diseño. Además de abordar los requisitos de riesgo, confiabilidad, rendimiento y resistencia, es posible que las organizaciones también deban cumplir con marcos y estándares como PCI DSS y NIST 800-53.
Crear controles que tengan en cuenta las relaciones de servicio y sus dependencias lleva mucho tiempo y es costoso. A veces, los clientes restringen el acceso de ingeniería a los servicios y características de AWS hasta que sus arquitectos de la nube identifiquen los riesgos e implementen sus propios controles.
Para hacerlo más fácil, hoy lanzamos la administración integral de controles en AWS Control Tower. Puede usarlo para aplicar controles preventivos, de detección y proactivos administrados a cuentas y unidades organizativas (OU) por servicio, objetivo de control o marco de cumplimiento. AWS Control Tower hace el mapeo entre ellos en su nombre, ahorrando tiempo y esfuerzo.
Con esta nueva capacidad, ahora también puede utilizar AWS Control Tower para activar los controles de detección de AWS Security Hub en todas las cuentas de una unidad organizativa. De esta forma, los controles de Security Hub están habilitados en cada región de AWS que gobierna AWS Control Tower.
Veamos cómo funciona esto en la práctica.
Uso de la administración integral de controles de AWS Control Tower
En la consola de AWS Control Tower, hay un nuevo Biblioteca de controles sección. ahí elijo Todos los controles. Ahora hay más de trescientos controles disponibles. Para cada control, veo con qué servicio de AWS está relacionado, el objetivo de control del que forma parte este control, la implementación (como la regla de AWS Config o la regla de AWS CloudFormation Guard), el comportamiento (preventivo, de detección o proactivo) y los marcos a los que se asigna (como NIST 800-53 o PCI DSS).
En el Buscar controles cuadro de búsqueda, busco un control preventivo llamado CT.NUBE.PR.1. Este control usa una política de control de servicios (SCP) para proteger los controles que usan ganchos de CloudFormation y es requerido por el control que deseo activar a continuación. Entonces, elijo Habilitar control.
Luego, selecciono la unidad organizativa para la que quiero habilitar este control.
Ahora que configuré este control, veamos cómo se presentan los controles en la consola en categorías. yo elijo Categorías en el panel de navegación. Allí, puedo navegar por los controles agrupados como Marcos, Serviciosy Objetivos de control. Por defecto, el Marcos se selecciona la pestaña.
Selecciono un marco (por ejemplo, PCI DSS versión 3.2.1) para ver todos los controles relacionados y los objetivos de control. Para implementar un control, puedo seleccionar el control de la lista y elegir Habilitar control.
También puedo gestionar controles por el servicio de AWS. Cuando selecciono el Servicios pestaña, veo una lista de servicios de AWS y los controles y objetivos de control relacionados.
Elijo Amazon DynamoDB para ver los controles que puedo activar para este servicio.
selecciono el Objetivos de control pestaña. Cuando necesito evaluar un objetivo de control, aquí es donde tengo acceso a la lista de controles relacionados para activar.
yo elijo Cifrar datos en reposo para ver y buscar a través de los controles disponibles para ese objetivo de control. También puedo consultar qué servicios están cubiertos en este caso concreto. yo tecleo RDS en la barra de búsqueda para encontrar los controles relacionados con Amazon Relational Database Service (RDS) para este objetivo de control.
yo elijo CT.RDS.PR.16: requiere que un clúster de base de datos de Amazon RDS tenga configurado el cifrado en reposo y entonces Habilitar control.
Selecciono la unidad organizativa para la que quiero habilitar el control y prosigo. Todas las cuentas de AWS en la unidad organizativa de esta organización tendrán este control habilitado en todas las regiones que rige AWS Control Tower.
Después de unos minutos, se actualiza la configuración de AWS Control Tower. Ahora, las cuentas en esta unidad organizativa tienen un control proactivo CT.RDS.PR.16 encendido Cuando una cuenta en esta unidad organizativa implementa una pila de CloudFormation, cualquier clúster de base de datos de Amazon RDS debe tener configurado el cifrado en reposo. Debido a que este control es proactivo, un enlace de CloudFormation lo verificará antes de que comience la implementación. Esto ahorra mucho tiempo en comparación con un control de detección que encontraría el problema solo cuando la implementación de CloudFormation está en curso o ha terminado. Esto también mejora mi postura de seguridad al prevenir algo que no está permitido en lugar de reaccionar después del hecho.
Disponibilidad y precios
La administración integral de controles está disponible en versión preliminar hoy en todas las regiones de AWS donde se ofrece AWS Control Tower. Estas capacidades de control mejoradas reducen el tiempo que le lleva examinar los servicios de AWS de meses o semanas a minutos. Lo ayudan a usar AWS asumiendo la pesada carga de definir, mapear y administrar los controles necesarios para cumplir con los objetivos y las reglamentaciones de control más comunes.
No hay cargo adicional por usar estas nuevas capacidades durante la versión preliminar. Sin embargo, cuando configure AWS Control Tower, comenzará a incurrir en costos por los servicios de AWS configurados para configurar su zona de aterrizaje y los controles obligatorios. Para obtener más información, consulte los precios de AWS Control Tower.
Simplifique la forma en que implementa los requisitos de cumplimiento y seguridad con AWS Control Tower.
— Danilo
