Demo TrustAdvisor/Guarduty

Clase 61 de 75Curso de AWS Certified Solutions Architect Associate

Clase anteriorSiguiente clase

Resumen

La seguridad en AWS es un pilar fundamental para cualquier arquitecto de la nube. Detectar comportamientos maliciosos antes de que afecten nuestras operaciones es crucial para mantener la integridad de nuestros sistemas. En este contenido, exploraremos dos servicios esenciales de AWS que nos ayudan a monitorear y mejorar la seguridad de nuestros entornos: GuardDuty y Trusted Advisor, herramientas que todo profesional de AWS debería conocer y utilizar regularmente.

¿Qué es GuardDuty y cómo nos ayuda a detectar amenazas?

GuardDuty es un servicio de AWS especializado en la detección de amenazas de seguridad que ofrece:

  • Monitoreo continuo de actividades sospechosas en nuestro entorno AWS.
  • Alertas y automatizaciones para responder rápidamente a posibles amenazas.
  • Activación con un solo clic, sin necesidad de instalar agentes adicionales.

Este servicio utiliza inteligencia artificial, aprendizaje automático y detección de anomalías para identificar posibles amenazas de seguridad en nuestros entornos de AWS.

Al acceder al panel de GuardDuty, encontramos un resumen completo con los hallazgos detectados. Estos hallazgos se clasifican según su severidad en un sistema tipo semáforo:

  • Bajo (Low)
  • Medio (Medium)
  • Alto (High)
  • Crítico (Critical)

Esta clasificación nos permite priorizar nuestra atención en los problemas más graves.

¿Cómo interpretar los hallazgos de GuardDuty?

Cada hallazgo en GuardDuty proporciona información detallada sobre la posible amenaza. Por ejemplo, podemos encontrar un hallazgo que indique que "la llamada API get cost forecast fue invocada utilizando las credenciales root", lo cual representa una mala práctica de seguridad, aunque en este caso esté categorizada con severidad baja.

Para cada hallazgo, GuardDuty nos muestra:

  • El tipo de hallazgo
  • El recurso afectado
  • El identificador de cuenta
  • Información adicional relevante para la investigación

¿Qué es Trusted Advisor y cómo optimiza nuestros recursos?

Trusted Advisor es un servicio más amplio que GuardDuty, ya que no solo se enfoca en seguridad sino que abarca:

  • Optimización de costos
  • Mejora del rendimiento
  • Recomendaciones de seguridad
  • Tolerancia a fallos
  • Límites de servicio
  • Excelencia operativa

Este servicio proporciona informes y sugerencias que requieren acción manual por parte del usuario para implementar las mejoras recomendadas.

¿Cómo afecta mi plan de soporte al uso de Trusted Advisor?

El acceso a las funcionalidades de Trusted Advisor varía según el plan de soporte contratado:

  • Plan Básico o Desarrollador: Acceso limitado a las comprobaciones de límites de servicio y solo 6 comprobaciones de seguridad.
  • Plan Business o Enterprise: Acceso completo a más de 482 comprobaciones en todas las categorías.

¿Qué tipo de recomendaciones ofrece Trusted Advisor?

Trusted Advisor puede alertarnos sobre diversos aspectos como:

  • Configuraciones incorrectas en grupos de seguridad
  • Problemas con permisos en buckets S3
  • Configuraciones subóptimas de IPs elásticas en VPC
  • Recursos infrautilizados que generan costos innecesarios

¿Cómo aprovechar al máximo estos servicios de seguridad?

Para maximizar el valor de estos servicios, es recomendable:

  • Revisar regularmente los hallazgos de GuardDuty para detectar posibles amenazas de seguridad.
  • Implementar las recomendaciones de Trusted Advisor para optimizar costos y mejorar la seguridad.
  • Considerar actualizar tu plan de soporte si necesitas acceso a todas las comprobaciones de Trusted Advisor.
  • Establecer un proceso para revisar periódicamente las recomendaciones y asignar responsabilidades para su implementación.

Un consejo valioso es revisar de forma recurrente las recomendaciones que Trusted Advisor proporciona, especialmente para identificar recursos infrautilizados que podrían estar generando costos innecesarios en tu cuenta de AWS.

La seguridad en la nube es un proceso continuo, no un destino final. Utilizando herramientas como GuardDuty y Trusted Advisor, podemos mantener nuestros entornos AWS más seguros y optimizados. ¿Qué otros servicios de seguridad de AWS utilizas en tu día a día? Comparte tu experiencia en los comentarios.