Automatizar configuraciones con corrección de desvíos

NOTA: La versión en Inglés cuenta con algunas actualizaciones que aún no se reflejaron en la versión en español.

Automatización con AWS Config

Es posible forzar el cumplimiento de estándares de seguridad en cuanto a configuraciones de AWS usando AWS Config y su funcionalidad “Auto Remediate” que nos permite ejecutar una automatización de AWS Systems Manager que vuelva la configuración nuevamente al estado deseado.

Uno podría preguntarse… ¿ Por qué no evitar que los desvíos ocurran con políticas de IAM ? … También es válido, solo que este método podemos revisar desvíos preexistentes, y que incluso si un administrador por error cambia dicha configuración hacia un estado no deseado, AWS Config lo remediará.

Prevenir vs. Detectar y corregir

Uno podría preguntarse… ¿Por qué no evitar que se produzcan desviaciones mediante políticas de IAM o políticas de control de servicios? La prevención con políticas tiene como ventaja que la configuración incorrecta no se presenta ni por un momento, mientras que la detección y corrección puede tardar unos minutos. Por otro lado, los desarrolladores a menudo se frustran con los mensajes de “Autorización denegada” sin una comprensión clara de por qué o qué no está permitido, y las implementaciones pueden fallar. El uso de servicios como AWS Config para detectar configuraciones incorrectas y generar una respuesta ofrece algunos beneficios:

  • Una mejor experiencia para el desarrollador, ya que puede notificar a la persona que introduce el cambio que no estaba permitido y, por lo tanto, se cambió nuevamente a la configuración recomendada (puede usar etiquetas para notificar al propietario)
  • IAM / SCP no corregirían las desviaciones que existían antes de la creación de la política
  • Si un administrador que tiene permisos para omitir la política introduce por error cambia la configuración a un estado no deseado, AWS Config lo solucionará.
  • Puede adoptar enfoques más suaves, como crear un ticket cuando se detecta una configuración incorrecta y cerrarlo automáticamente cuando se resuelve el problema.

Guía para evaluar su grado de alineación

  • ¿Está creando tickets cuando un recurso se configura incorrectamente?
  • ¿Está corrigiendo automáticamente las configuraciones incorrectas?

Precios

https://aws.amazon.com/config/pricing/