For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
¿Cómo puedo proteger mi instancia de EC2 para cumplir con los programas de cumplimiento?
Quiero proteger mi instancia de Amazon Elastic Compute Cloud (Amazon EC2) para cumplir con un programa de cumplimiento.
Solución
Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulta Solución de problemas de AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.
Es tu responsabilidad cumplir con las leyes, los reglamentos y los programas de privacidad de conformidad. Para obtener más información sobre los programas de conformidad existentes, consulta los programas de conformidad de AWS.
La siguiente tabla incluye los programas de conformidad comunes, sus requisitos y los servicios de AWS para ayudarte a configurar la conformidad:
| Programa de cumplimiento | Requisitos clave | Servicios de AWS que se van a utilizar |
|---|---|---|
| SOC 2 | Seguridad, disponibilidad y confidencialidad | AWS Identity and Access Management (IAM), AWS CloudTrail, AWS Config, Amazon GuardDuty |
| Ley de portabilidad y responsabilidad del seguro médico (HIPAA) | Cifrado electrónico de información médica protegida (ePHI) y registros de acceso | AWS Key Management Service (AWS KMS), CloudTrail, Amazon Macie |
| Estándares de seguridad de datos de tarjetas de pago (PCI DSS) | Protección de datos de titulares de tarjetas y firewall de aplicaciones web (WAF) | AWS WAF, AWS Shield, Amazon Inspector |
| Regulación general de protección de datos (RGPD) | Protección de la información de identificación personal (PII) y derecho a borrarla | Macie, AWS Lambda |
| ISO 27001 | Administración de riesgos y cifrado | AWS Security Hub, AWS Artifact |
| Instituto Nacional de Estándares y Tecnología (NIST) 800-53 | Control de acceso y registro | Políticas de control de servicios (SCP) de AWS Organizations |
| Programa federal de administración de riesgos y autorizaciones (FedRAMP) | Seguridad en la nube del gobierno estadounidense | AWS GovCloud (EE. UU.), AWS Control Tower |
Para cumplir con los requisitos de cumplimiento, se recomienda implementar un enfoque de seguridad por capas para las instancias de EC2.
Uso del control de acceso para cumplir con el principio de privilegio mínimo
Para configurar el cumplimiento de programas como SOC 2, NIST e ISO 27001, toma las siguientes medidas:
- Utiliza la consola del IAM Identity Center o la AWS CLI para aplicar la autenticación multifactor (MFA) a todos los usuarios.
Nota: La MFA aplicada es necesaria para PCI DSS y SOC 2. - Utilizaroles de IAM en lugar de usuarios raíz o credenciales a largo plazo.
- Aplica los SCP para restringir las acciones de riesgo.
Configuración del cifrado en reposo y en tránsito
Para configurar el cumplimiento de programas como HIPPA, PCI DSS y GDPR, toma las siguientes medidas:
- Activa el cifrado de Amazon Elastic Block Store (Amazon EBS).
Nota: Puedes configurar el cifrado automático para los nuevos volúmenes e instantáneas de EBS. - Aplica TLS 1.2 o posterior.
Nota: Esto es obligatorio para PCI DSS. - Utiliza los certificados de AWS Certificate Manager (ACM) para administrar el tráfico HTTPS.
- Configura tus grupos de seguridad para bloquear el tráfico que no sea SSL/TLS.
Nota: Para permitir solo el tráfico cifrado, permite los puertos SSL/TLS, como 443, 465 y 587, y bloquea los puertos de texto sin formato, como 80, 21 y 3306. Para obtener más información sobre los grupos de seguridad, consulta Reglas de grupos de seguridad para diferentes casos de uso. - Combina las reglas de los grupos de seguridad con la aplicación de la ley, como la seguridad de transporte estricto HTTP (HSTS).
Configuración de firewalls de seguridad de red
Para configurar el cumplimiento de programas como PCI DSS, FedRAMP y NIST, toma las siguientes medidas:
- Restringe los grupos de seguridad para permitir solo los puertos necesarios.
- Utiliza AWS WAF para proteger tu instancia.
- Activa los registros de flujo de Amazon Virtual Private Cloud (Amazon VPC) para capturar el tráfico de direcciones IP y cumplir con las prácticas recomendadas operativas del NIST 800-53.
Configuración de registros de auditoría
Para configurar el cumplimiento de programas como SOC 2, ISO 27001 e HIPAA, toma las siguientes medidas:
- Para activar CloudTrail en todas las regiones de AWS, crea una pista con IsMultiRegionTrail establecido en true o actualiza las pistas existentes.
- Envía los registros a Amazon Detective o Security Hub para realizar comprobaciones de cumplimiento automatizadas.
Configuración de la administración de parches y los análisis de vulnerabilidades
Para configurar la conformidad con programas como PCI DSS y FedRAMP, toma las siguientes medidas:
- Configura el Administrador de parches, una capacidad de AWS Systems Manager, para aplicar parches automáticamente a tus instancias de Windows y Linux.
- Utiliza Amazon Inspector para analizar tus instancias en busca de vulnerabilidades de paquetes y problemas de accesibilidad a la red.
Configuración del acceso SSH
Para configurar el cumplimiento de programas como SOC 2, HIPAA, PCI DSS y NIST, toma las siguientes medidas:
- Cumple con las prácticas recomendadas de acceso SSH.
- Utiliza el Administrador de sesiones, una capacidad de AWS Systems Manager, para conectarte a la instancia en lugar de usar SSH.
- Restringe los grupos de seguridad a direcciones IP específicas.
- Desactiva el inicio de sesión con contraseña y utiliza pares de claves SSH en su lugar.
- Rota las claves SSH cada 90 días.
Configuración de la detección de amenazas
Para configurar la conformidad con programas como SOC 2 e IS 27001, configura los siguientes ajustes de GuardDuty:
- Integra GuardDuty con Security Hub para escalar los resultados críticos.
- Configura análisis de malware bajo demanda.
- Para identificar las amenazas de seguridad que más afectan a tu entorno, configura reglas de supresión para eliminar los falsos positivos, los resultados de bajo valor y las amenazas no procesables.
Recuperación de información sobre las instancias para un informe
Para obtener datos sobre la instancia, como el ID, las etiquetas y el estado de conformidad, ejecuta el siguiente comando describe-instances de la AWS CLI:
aws ec2 describe-instances --query Reservations[*].Instances[*].{InstanceId, InstanceType, LaunchTime, State.Name, Tags[?Key==`Name`].Value} --output text > instances.csv
Importante: Se recomienda auditar y actualizar periódicamente la configuración para mantener el cumplimiento a medida que cambian los estándares.
- Temas
- Compute
- Etiquetas
- LinuxAmazon EC2Windows
- Idioma
- Español
Contenido relevante
- preguntada hace un año
- preguntada hace 4 meses
- preguntada hace 5 meses
- preguntada hace 4 meses
- preguntada hace 9 meses
- OFICIAL DE AWSActualizada hace 3 años