Creación de Alertas en AWS CloudWatch

Clase 29 de 30Curso de Ciberseguridad para Desarrollo Web

Clase anteriorSiguiente clase

Resumen

¿Cómo monitorizar la seguridad de una aplicación con alertas en AWS?

En la administración de sistemas y aplicaciones, es crucial ser proactivo respecto a la seguridad. El uso de logs, métricas y alertas puede ser su mejor aliado. Las alertas, por ejemplo, se envían cuando ocurre algún comportamiento inesperado en el sistema y pueden ser recibidas en diversas formas: mensajes de texto, correos electrónicos, aplicaciones como Ops Genie e incluso en canales de Slack corporativos. Estas herramientas permiten detectar posibles problemas antes de que se vuelvan críticos, pero lo más importante es que estas alertas deben ser accionables.

¿Qué es un postmortem y por qué es importante?

Un postmortem es una ceremonia dentro de las organizaciones que se realiza para analizar un evento crítico ocurrido en el sistema. Lo esencial es identificar la causa raíz del problema para así evitar que se repita. No se busca señalar culpables, sino aprender de la situación y mejorar procesos y códigos.

En los postmortems se lleva a cabo una revisión a fondo para entender qué originó la brecha de seguridad y qué medidas se pueden tomar para prevenir futuras ocurrencias. Las soluciones pueden incluir cambios en los procesos, revisiones del código o inclusive modificaciones en la infraestructura.

¿Cómo crear una alerta en AWS CloudWatch?

CloudWatch es la herramienta en AWS para gestionar métricas y crear alertas. A continuación, se describe cómo configurar una alerta para monitorear las requests a un API Gateway.

  1. Acceder a CloudWatch y Alarms:

    • Entra a tu consola de AWS y navega hacia CloudWatch, luego selecciona la opción de Alarms.

  2. Crear una nueva alerta:

    • Haz clic en "Create Alarm".
    • Selecciona una métrica predefinida, por ejemplo, una relacionada con el API Gateway.

  3. Configurar la alerta:

    • Elije una métrica, como el 'Count' que representa el número de requests en un intervalo de tiempo.
    • Define un 'threshold' estático para activar la alerta, por ejemplo, cuando las requests superen las 10,000 en cinco minutos.

  4. Establecer acciones para la alerta:

    • Crea un nuevo SNS (Simple Notification Service) topic para enviar notificaciones por email.
    • Define el email receptor para estar al tanto de las alertas.

  5. Asignar un nombre y descripción a la alerta:

    • Nombrala de manera descriptiva, como "max API gateway count" y proporciona una breve descripción de su propósito.

  6. Confirmar suscripción al SNS:

    • Verifica en tu correo electrónico para confirmar la suscripción a este canal de notificaciones.

¿Cómo validar el funcionamiento de una alerta?

Para confirmar que nuestra alerta funciona correctamente, podemos simular su activación usando el API de CloudWatch.

  • Acceso a CloudShell: Usamos la consola integrada de AWS para ejecutar comandos.
  • Ejecutar un comando de simulación: 
    aws cloudwatch set-alarm-state --alarm-name "maxAPIGateWaitHits" --state-value ALARM --state-reason "Testing"
  • Refrescar y comprobar estado de la alerta: Posteriormente, verificamos que la alerta haya cambiado a "in alarm" en CloudWatch.

De esta forma, además de recibir la confirmación en tu email, puedes estar seguro de que la configuración y notificación de tu alerta está operativa y lista para actuar en caso de desviaciones en el monitoreo de tu sistema.

La creación y validación de alertas en AWS CloudWatch es esencial no solo para la operatividad de los sistemas, sino también para mejorar continuamente la reacción frente a incidentes. Sigue explorando otras aplicaciones y servicios para potenciar el monitoreo y la gestión de tus sistemas.