Logging
En esta entrega hablaremos sobre logging. Me permitiré citar al CTO de AWS, Werner Vogels, quien ha mencionado que "sistemas no monitoreados llevan a costos desconocidos." Aunque esta cita se hizo en el contexto de costos, el no monitorear adecuadamente nuestras cargas desde una perspectiva de seguridad puede resultar extremadamente costoso. Esto no solo podría comprometer la imagen de la organización, sino también los datos de nuestros clientes y las operaciones críticas. Por lo tanto, el monitoreo constante y la facilidad para interactuar con la información recopilada son fundamentales. No basta con capturar los datos; es esencial comprender el estado de nuestras cargas a partir de estos datos para tomar decisiones informadas y proteger nuestros activos.
Importancia de una estrategia de logging adecuada
Contar con los logs adecuados es esencial para los equipos de seguridad, ya que proporcionan la evidencia necesaria para identificar qué está ocurriendo. Sin estos datos, los equipos estarían operando a ciegas. La información de calidad permite acciones proactivas, como la identificación de comportamientos anómalos, amenazas, y cambios sospechosos en configuraciones que podrían indicar peligros inminentes, ya sean provocados por fuentes internas o externas. Estos logs nos permiten detectar intentos de acceso no autorizados, entre otras actividades sospechosas.
Dependiendo de la industria en la que nos encontremos, puede ser necesario cumplir con regulaciones de seguridad y privacidad como HIPAA o PCI, lo que hace que la auditoría de logs no sea opcional, sino un requisito obligatorio.
En cuanto a la atención de incidentes, el análisis de logs es crucial para identificar qué ha sucedido. Los logs proporcionan los datos necesarios para entender el incidente, determinar las causas, aplicar las remediaciones adecuadas y evitar que el problema se repita.
Finalmente, en el contexto de la mejora continua, los logs permiten identificar patrones que quizás no sean evidentes al principio, facilitando que el equipo de TI evolucione y sea proactivo en la detección de áreas de mejora.
Servicios Esenciales
Para establecer una base sólida de logging y monitoreo, AWS CloudWatch y CloudTrail son herramientas esenciales que deben implementarse en toda arquitectura:
AWS CloudWatch
Es un servicio integral que:
- Recopila logs de servicios AWS, recursos on-premise y logs generados por aplicaciones propias.
- Proporciona métricas detalladas.
- Permite la creación de dashboards.
- Ofrece configuración de alarmas.
- Se integra con Amazon EventBridge, permitiendo la ejecución de actividades específicas como reacción a una alarma.
AWS CloudTrail
Este servicio nos apoya con la auditoría y el cumplimiento:
- Registra todas las llamadas a las API de AWS.
- Permite identificar quién realizó una acción, cuándo y en qué recursos.
- Los eventos de gestión incluyen detalles sobre la creación, modificación y eliminación de recursos.
Esta tupla de servicios se complementa y nos ayuda a lograr una comprensión completa del estado de la carga.
Revisión de la estrategia
Dado lo anterior, continuemos la revisión y procedamos a verificar que los cimientos de una estrategia sólida se encuentren presentes en la carga de trabajo.
En primer lugar, verifiquemos la activación de los logs de servicios críticos. Ejemplos de servicios mínimos son:
- RDS: Para monitorear actividades de la base de datos y detectar accesos no autorizados.
- Balanceadores de carga: Para analizar patrones de tráfico.
- WAF: Para identificar y responder a amenazas.
- Lambda: Para depurar funciones y detectar comportamientos anómalos.
Consideraciones Clave
- Todas las cuentas y las regiones activas deben ser contempladas.
- Las políticas de retención de logs deben estar acordes con los requisitos del negocio.
- Todos los logs deben estar encriptados y protegidos tanto en reposo como en tránsito.
VPC Flow Logs
Los VPC Flow Logs merecen una consideración especial. Al revisar la cuenta, no los trataría como una receta de cocina. Estos logs nos permiten:
- Capturar el tráfico de red entrante y saliente.
- Identificar solicitudes aceptadas y rechazadas.
- Son muy útiles para identificar fallas en la configuración.
No obstante, estos logs tienen sus pros y sus contras, dado que:
- Pueden impactar el costo de almacenamiento por volumen.
- Podrían provocar aumentos en la latencia, afectando los tiempos de respuesta.
Por lo que analicemos si aplica su habilitación de manera general o si una estrategia que considere lo siguiente es más adecuada:
- Activación selectiva.
- Periodo de retención personalizado a las necesidades.
Una revisión no es una receta de cocina; existen lineamientos a seguir y buenas prácticas que se deben cumplir. No obstante, los requerimientos del negocio, sus necesidades y sensibilidad deben guiar el análisis.
Top comments (0)