Uso de VPC compartida con Runtime Monitoring - Amazon GuardDuty
FuncionamientoRequisitos previos

Uso de VPC compartida con Runtime Monitoring

Runtime Monitoring de GuardDuty es compatible con Amazon Virtual Private Cloud (Amazon VPC) compartido para las Cuentas de AWS que pertenezca a la misma organización en AWS Organizations. Se puede usar la VPC compartida de dos maneras:

  • Configuración automática del agente (recomendada): cuando GuardDuty administre de manera automática el agente de seguridad, también configurará la política de puntos de conexión de Amazon VPC. Esta política se basa en la configuración de VPC compartida de su organización.

    Se debe habilitar la configuración automática del agente en la cuenta del propietario de la VPC compartida y en todas las cuentas participantes que compartirán esta VPC.

  • Agente administrado de manera manual: al administrar de manera manual el agente de seguridad con una VPC compartida, debe actualizar la política de puntos de conexión de VPC para permitir que las cuentas correspondientes accedan a la VPC compartida. Para ello, se puede usar el ejemplo de política que se comparte en la siguiente sección Funcionamiento.

    En los escenarios de administración manual que involucran cuentas participantes para una VPC compartida, es posible que el estado de la cobertura no sea exacto. Para garantizar un estado actualizado de protección y cobertura de sus recursos, GuardDuty recomienda habilitar la configuración automática de agentes para todas las cuentas que utilizarán una VPC compartida.

Funcionamiento

Las Cuentas de AWS que pertenecen a la misma organización que la cuenta de propietario de la Amazon VPC compartida también pueden compartir el mismo punto de conexión de Amazon VPC. Cada una de las cuentas que utiliza la misma política de punto de conexión de Amazon VPC se denomina cuenta de AWS participante de la Amazon VPC compartida asociada.

El siguiente ejemplo muestra la política de punto de conexión de VPC predeterminada de la cuenta de propietario de la VPC compartida y la cuenta participante. aws:PrincipalOrgID mostrará el ID de la organización asociado al recurso de la VPC compartida. El uso de esta política se limita a las cuentas participantes presentes en la organización de la cuenta de propietario.

ejemplo
Ejemplo de política de punto de conexión de VPC compartida
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}

Con configuración automática de agentes GuardDuty

Cuando la cuenta de propietario de la VPC compartida habilita la Supervisión en tiempo de ejecución y la configuración automatizada del agente para cualquiera de los recursos (Amazon EKS o AWS Fargate (solo Amazon ECS)), todas las VPC compartidas adquieren la posibilidad de instalar automáticamente el punto de conexión de Amazon VPC compartida y el grupo de seguridad asociado en la cuenta de propietario de la VPC compartida. GuardDuty recupera el ID de organización asociado a la Amazon VPC compartida.

GuardDuty crea un punto de conexión de Amazon VPC cuando la cuenta de propietario de la VPC compartida o la cuenta participante lo necesita. Algunos ejemplos de casos en los que se necesita un punto de conexión de Amazon VPC son la habilitación de GuardDuty, la Supervisión en tiempo de ejecución, la Supervisión en tiempo de ejecución de EKS o el lanzamiento de una nueva tarea de Amazon ECS-Fargate. Cuando estas cuentas habilitan Runtime Monitoring y la configuración automatizada del agente para cualquier tipo de recurso, GuardDuty crea un punto de conexión de Amazon VPC y establece la política del punto de conexión con el mismo ID de organización que el de la cuenta de propietario de la VPC compartida. GuardDuty agrega una etiqueta GuardDutyManaged y la establece en true para el punto de conexión de Amazon VPC que GuardDuty crea. Si la cuenta de propietario de Amazon VPC compartida no ha habilitado la Supervisión en tiempo de ejecución o la configuración automatizada del agente para ninguno de los recursos, GuardDuty no establecerá la política de punto de conexión de Amazon VPC. Para obtener información sobre cómo configurar la Supervisión en tiempo de ejecución y administrar el agente de seguridad automáticamente en la cuenta de propietario de la VPC compartida, consulte Habilitar la Supervisión en tiempo de ejecución de GuardDuty.

Se utiliza con un agente administrado de manera manual

Cuando utilice una VPC compartida con un agente administrado de manera manual, compruebe que no haya una política de punto de conexión Deny explícita que bloquee una cuenta que necesite usar la VPC compartida. Esto evitará que el agente de seguridad envíe datos telemétricos a GuardDuty, lo que provocará una cobertura Unhealthy. Para configurar la política de puntos de conexión, consulte Example shared VPC endpoint policy.

Es posible que la cobertura del tiempo de ejecución no sea precisa en situaciones como la falta de permisos para la VPC compartida. Puede monitorear de forma continua la cobertura de los recursos siguiendo los pasos correspondientes al tipo de recurso indicado Revisar las estadísticas de la cobertura en tiempo de ejecución y resolución de problemas.

Para garantizar la protección continua de sus recursos informáticos con Runtime Monitoring, GuardDuty recomienda habilitar la configuración automática de agentes para la cuenta propietaria de la VPC compartida y todas las cuentas participantes de sus recursos.

Requisitos previos para utilizar una VPC compartida

Como parte de una configuración inicial, siga los siguientes pasos en la Cuenta de AWS que desee que sea la propietaria de la VPC compartida:

  1. Crear una organización: para crear una organización, siga los pasos que se indican en Crear y administrar una organización en la Guía del usuario de AWS Organizations.

    Para obtener información sobre cómo agregar o eliminar cuentas de miembro, consulte Administrar Cuentas de AWS en la organización.

  2. Crear un recurso de VPC compartida: puede crear un recurso de VPC compartida desde la cuenta de propietario. Para obtener más información, consulte Compartir las subredes de VPC con otras cuentas en la Guía del usuario de Amazon VPC.

Requisitos previos específicos de la Supervisión en tiempo de ejecución de GuardDuty

La siguiente lista indica los requisitos previos específicos de GuardDuty:

  • La cuenta de propietario de la VPC compartida y la cuenta participante pueden ser de diferentes organizaciones en GuardDuty. Sin embargo, deben pertenecer a la misma organización en AWS Organizations. Esto es necesario para que GuardDuty cree un punto de conexión de Amazon VPC y un grupo de seguridad para la VPC compartida. Para obtener información sobre cómo funcionan las VPC compartidas, consulte Compartir la VPC con otras cuentas en la Guía del usuario de Amazon VPC.

  • Habilitar la Supervisión en tiempo de ejecución o la Supervisión en tiempo de ejecución de EKS, y la configuración automatizada del agente de GuardDuty para cualquier recurso en la cuenta de propietario de la VPC compartida y en la cuenta participante. Para obtener más información, consulte Habilitación de la supervisión en tiempo de ejecución.

    Si ya ha completado estas configuraciones, continúe con el siguiente paso.

  • Al trabajar con una tarea de Amazon EKS o de Amazon ECS (únicamente AWS Fargate), asegúrese de elegir el recurso de VPC compartida asociado a la cuenta de propietario y seleccione sus subredes.