Establece la gestión multi-cuenta con AWS Control Tower

NOTA: Aún no se completó la actualización de la versión en español a v2, sugerimos usar la versión en Inglés por ahora.

AWS Control Tower

Usando AWS Control Tower puedes partir desde las buenas prácticas, con un esquema multi-cuenta, donde centralmente puedas forzar el cumplimiento de políticas (GuardRails) mientras centralizas y proteges los logs de AWS Cloudtrail en una cuenta de logging.

Delegación de la gestión multi-cuenta integrada a AWS Organizations

Los siguientes servicios de seguridad están integrados a AWS Organizations (AWS Control Tower incluye Organizations), para una gestión central desde la cuenta de Seguridad (o Audit)

  • AWS Security Hub
  • Amazon GuardDuty
  • Amazon Macie
  • Amazon Detective
  • AWS Firewall Manager
  • IAM Access Analyzer
  • Amazon Inspector
  • AWS Audit Manager

Implementación de AWS Control Tower en una organización existente

Si tiene una organización existente, aún puede habilitar AWS Control Tower.

Una cuenta para una organización con Control Tower

Si tiene todo en una cuenta, configure Control Tower en una cuenta nueva y agregue la cuenta a la organización. No es recomendable configurar AWS Control Tower en una cuenta que tenga cargas de trabajo, ya que la cuenta de administración (org-root) no se ve afectada por los SCP y no se debe acceder a ella todo el tiempo.

Mitigación de riesgos

  • Si la generación y el almacenamiento de registros no son seguros, un adversario puede destruirlos o desactivarlos, lo que complica significativamente la tarea de erradicación
  • Si las cargas de trabajo no están separadas en una estructura de múltiples cuentas, el radio de explosión crece.
  • Si está usando una sola cuenta, no podrá usar políticas de control de servicio, por lo tanto, no hay límites adicionales a lo que permite esa credencial. Si pasó la fase de experimentación, para tener cargas de trabajo productivas, definitivamente necesita una organización.

Guía para evaluar su grado de alineación

  • ¿Ha implementado AWS Control Tower?
  • ¿Está aislando sus cargas de trabajo en varias cuentas?
  • ¿Hay una cuenta en particular en su organización que tenga la mayoría de las cargas de trabajo de la organización?

Precios

https://aws.amazon.com/controltower/pricing

Nota: si no puede habilitar AWS Control Tower porque necesita flexibilidad o personalización adicional de la cuenta, puede aprovechar la siguiente solución: Landing Zone Accelerator en AWS