Orientación para la protección de red en SP-API

Descripción general

La protección de red es un conjunto bien pensado de herramientas, reglas y configuraciones diseñadas con la intención principal de proteger la confidencialidad, integridad y accesibilidad de los datos. Cualquier dispositivo al que se pueda acceder a través de una conexión a Internet es propenso a sufrir ataques. La definición de políticas y protocolos de protección de red sólidos puede ayudar a proteger su dispositivo y su red del tráfico de red innecesario o malicioso.

Como parte de la Amazon Data Protection Policy(DPP) , los desarrolladores deben crear un entorno seguro para reducir los riesgos de pérdida de datos y las vulnerabilidades relacionadas. Los desarrolladores aceptan las políticas DPP y Acceptable Use Policy (AUP) de Amazon durante el proceso de registro .

Durante las auditorías, Amazon evalúa el cumplimiento de los desarrolladores con las Políticas de protección de datos. Sin excepción, Amazon requiere que los desarrolladores mantengan los protocolos necesarios para proteger su infraestructura de red de manera consistente, en todo momento. Este documento técnico analiza la importancia de las técnicas y controles de protección de la red que pueden ayudar a proteger su red mientras se mantiene el cumplimiento de los requisitos DPP y AUP de Amazon.

Requisitos de la Amazon Data Protection Policy(DPP)

Como se indica en la Amazon Data Protection Policy(DPP) en 1.1 Network Protection ,

Network Protection. Los desarrolladores deben implementar controles de protección de red, incluidos firewall de red y listas de control de acceso a la red para denegar el acceso a direcciones IP no autorizadas. Los desarrolladores deben implementar software de segmentación de red, antivirus y antimalware en los dispositivos de los usuarios finales. Los desarrolladores deben restringir el acceso público solo a los usuarios aprobados y realizar capacitación en protección de datos y seguridad de TI para todos los que tengan acceso al sistema.

Segmentación de red y filtrado de firewall

La segmentación de red es una técnica que divide una gran red en subredes más pequeñas, lo que proporciona mejores controles de acceso y seguridad. Cuando se implementan la segregación y la segmentación de la red, los administradores de TI pueden controlar mejor el flujo de tráfico dentro de un perímetro de seguridad bien definido contra intrusiones e infiltraciones. Mientras que la segregación divide la red según el rol y la funcionalidad, la segmentación hace que una red plana sea dispar y desconecta la red de sus componentes.

La segmentación de la red ayuda a contener las brechas de seguridad, lo que reduce los riesgos durante los ataques y fallas. Una forma de implementar una segmentación eficaz basada en el perímetro es a través de firewalls de red. Esto incluye configurar efectivamente un límite de red deseado y garantizar que todo el tráfico que cruce el límite se enrute a través del firewall. Si bien la aplicación de la segmentación de red puede ser específica para las necesidades de una empresa, los desarrolladores deben implementar ciertas mejores prácticas como organización para cumplir con el DPP de Amazon. Ejemplos incluyen:

• Defina políticas sólidas de firewall de red basadas en un análisis de riesgo integral de su organización. Las políticas de firewall efectivas se basan en bloquear todo el tráfico entrante y saliente, con excepciones establecidas para el tráfico confiable.
• Segmentar redes con Virtual Local Area Networks (VLAN) o subredes. Las etiquetas VLAN redirigen el tráfico autorizado únicamente a una red aislada específica, lo que reduce la detección de paquetes maliciosos y los ataques superficiales.
• Microsegmente la red aislando el acceso guest a las redes. Además de crear credenciales de invitado para acceder a redes Wi-Fi, cree portales separados para vendors de servicios de terceros.
• Segmente el acceso de usuarios para usuarios dentro de la empresa entre perímetros. Esto restringirá la autorización a usuarios específicos e iniciará alertas cuando se intente un acceso no autorizado.

Al utilizar el firewall de red de AWS , obtiene un firewall de red administrado y con estado y detección de intrusiones, así como un servicio de prevención para el entorno de virtual private cloud (VPC) que creó en Amazon Virtual Private Cloud (Amazon VPC).

Ejemplo de ubicación de AWS Network Firewall dentro de una arquitectura simple

Network Firewall es compatible con AWS Firewall Manager , que se puede aprovechar para configurar y administrar de manera centralizada los firewalls en sus cuentas y aplicaciones. La política de firewall define reglas y otras configuraciones para que un firewall las use para filtrar el tráfico entrante y saliente en una VPC.

AWS WAF , AWS Shield y AWS Firewall Manager trabajan juntos para servir como una solución de seguridad integral. A medida que el tráfico ingresa a los límites de su VPC, AWS WAF se puede usar para monitorear las solicitudes que se reenvían a sus aplicaciones web y controlar el acceso a su contenido. Un método común de ataque por parte de entidades maliciosas es enviar un gran volumen de tráfico para sobrecargar sus servidores, y AWS Shield ayuda a protegerse contra estos ataques de Distributed Denial of Service (DDoS). Una herramienta complementaria para administrar de forma centralizada estos mecanismos de protección de la red es AWS Firewall Manager, que se puede aprovechar para configurar sus reglas de firewall y aplicar las reglas automáticamente en todas las cuentas y recursos, incluso cuando se agregan nuevos recursos.

Controles de acceso a la red

Además de implementar la segmentación de la red y los firewalls, se deben tomar medidas para evitar que los dispositivos no autorizados accedan a la red. Esto se puede lograr a través de herramientas de control de acceso a la red, que permiten a las empresas verificar el cumplimiento de los dispositivos y evitar que los dispositivos no autorizados accedan a sus redes corporativas.

Dado que las organizaciones se están volviendo más abiertas a que los empleados usen sus dispositivos personales para fines laborales, es más importante que nunca escanear estos dispositivos en busca de vulnerabilidades y cumplimiento de políticas corporativas antes de permitir el acceso a los datos comerciales.

Además de las redes locales, es esencial proteger también los cloud services de su organización. Es importante tener en cuenta que los controles de acceso a la red y Access Control Lists (ACLs) son dos conceptos diferentes. Mientras que los controles de acceso a la red son protocolos de acceso que se aplican a los nodos de la red según las identidades de los usuarios autenticados o los dispositivos confiables, las ACL son reglas que se aplican a nivel del enrutador para permitir o denegar el acceso a un entorno. A continuación, veremos cómo los procesos de administración de identidad y acceso (IAM) pueden ayudarlo a aprovisionar adecuadamente el acceso de los usuarios.

Como parte del cumplimiento de Amazon DPP, es fundamental implementar herramientas o mecanismos de administración de acceso e identidad que puedan aplicar permisos granulares en función de los atributos de control de acceso, como los nombres de departamento, trabajo, rol y equipo. Dichos controles basados en roles ayudan a las organizaciones a monitorear acciones, así como a asociar eventos y acciones a identidades relevantes. Tanto los dispositivos de red locales como los dispositivos en la nube deben contar con un proceso para autorizar, restringir y controlar tanto la asignación como el uso del acceso a una red. Depende de los desarrolladores implementar una herramienta en función de sus necesidades de escala y precios.

Antimalware

Cualquier dispositivo conectado a Internet es propenso al malware. Malware es un término general general que se utiliza para representar cualquier código malicioso escrito para infectar la computadora host. Los virus son un tipo de malware que se adhiere fácilmente a los programas y se distribuye a través de correos electrónicos, dispositivos de almacenamiento extraíbles y redes contaminadas. Una vez que una computadora está infectada, el malware puede eliminar o cifrar archivos, modificar aplicaciones o desactivar funciones del sistema.

Es esencial que las organizaciones desarrollen e implementen enfoques efectivos para la prevención de incidentes de malware basados en los vectores de ataque más frecuentes. Las organizaciones deben tener políticas que aborden la prevención de incidentes de malware y las capacidades de mitigación de amenazas para ayudar a contener los incidentes de malware.

El software antivirus es el control técnico de mitigación de amenazas de malware más utilizado. El software antivirus es capaz de escanear dispositivos, identificar virus y eliminar virus. Además del escaneo activo, es necesario actualizar regularmente su aplicación antivirus para protegerse de las amenazas actuales. Si bien los programas antivirus están diseñados para proteger un solo endpoint, las corporaciones más grandes con una colección diversa de puntos finales requieren la protección de Enterprise Endpoint Security. Las soluciones de plataformas avanzadas Endpoint Protection Platforms (EPP) brindan capacidades como firewall y heurística con aprendizaje automático y contención de vanguardia.

El DPP de Amazon requiere que nuestros usuarios de SP-API tengan mecanismos para proteger su endpoint. Si bien Amazon no recomienda una herramienta antimalware específica, los desarrolladores deben habilitar ciertos controles. Todos los sistemas que tienen acceso a los datos del usuario deben tener instalado un antivirus y/o antimalware. Los sistemas deben ejecutar análisis completos del sistema de forma periódica, en lugar de depender totalmente de los análisis en el momento del acceso.

Los controles para desactivar los análisis antivirus deben estar deshabilitados. Asegúrese de que las definiciones de antivirus estén actualizadas. El registro y las alertas de antivirus deben estar habilitados. Si el antivirus está deshabilitado, se debe notificar al equipo de TI y se debe iniciar el proceso de seguimiento adecuado.

Network-based intrusion detection systems (NIDS) y network intrusion prevention systems (NIPS)

Los Network-based intrusion detection systems (NIDS) supervisan los patrones de tráfico y detectan actividades maliciosas mediante el análisis de los paquetes de red entrantes y salientes. Si bien los NIDS son capaces de detectar y alertar cualquier intrusión en la red, los network intrusion prevention systems (NIPS) pueden prevenir un ataque finalizando una conexión de Protocolo de control de transmisión (TCP) o bloqueando la actividad sospechosa de la red al controlar los firewalls. Las políticas de protección de datos de Amazon recomiendan que los sistemas NIDS y NIPS se instalen en la red y los dispositivos de endpoint. Tenga en cuenta que, cuando se implementa correctamente, NIPS puede detectar una amenaza por adelantado y detener poderosos ataques a la red que los controles de seguridad convencionales no pueden detectar.

Amazon GuardDuty es un servicio NIDS nativo en la nube que utiliza datos de tráfico provenientes de registros de flujo de VPC para detectar comportamientos de amenazas. Debe habilitar el registro de flujo de su VPC. Estos registros le brindan una visibilidad completa del tipo de tráfico que pasa por la VPC. El registro de flujo puede ayudarlo a detectar tráfico problemático y brindarle información valiosa. También puede ayudarlo a resolver problemas de acceso y seguridad. Por ejemplo, el registro de flujo puede ayudarlo a ver si hay grupos de seguridad que son demasiado permisivos. Amazon GuardDuty se puede configurar para notificar al personal sobre presuntos compromisos por correo electrónico o mensaje de servicio de mensajes cortos (SMS) para reaccionar y mitigar cualquier amenaza.

Estas herramientas no se limitan solo a Amazon, otros vendors de nube y soluciones de código abierto como Snort y Wazuh están disponibles para ayudarlo a proteger su entorno.

Conclusión

Este reporte técnico analiza la importancia de la protección de la red y las aplicaciones. Úselos como pautas para duplicar la protección de su red; sin embargo, no tiene que limitarse a estas herramientas y controles. Si bien la mayoría de los servicios enumerados anteriormente son servicios de Amazon, siéntase libre de usar herramientas análogas de su elección que se ajusten a sus requisitos.

Avisos

Los sellers y desarrolladores de Amazon son responsables de realizar su propia evaluación independiente de la información de este documento. Este documento: (a) es solo para fines informativos, (b) representa las prácticas actuales, que están sujetas a cambios sin previo aviso, y (c) no crea ningún compromiso ni garantía por parte de Amazon.com Services LLC (Amazon) y sus afiliados. , vendors o licenciantes. Los productos o servicios de la API de Amazon Services se proporcionan "tal cual" sin garantías, representaciones o condiciones de ningún tipo, ya sean expresas o implícitas. Este documento no forma parte ni modifica ningún acuerdo entre Amazon y ninguna de las partes.

© 2022 Amazon.com Services LLC o sus afiliados. Reservados todos los derechos.