Bienvenido a nuestra séptima publicación de blog sobre los servicios de AWS que hemos denominado #100DaysofAWS. Esta publicación trata sobre otro servicio famoso que es bastante similar al que cubrimos ayer, que fue CloudWatch. Esta publicación de blog de hoy habla sobre uno de los servicios integrales de AWS: CloudTrail.
De la manera más simple, CloudWatch se puede describir como un servicio para usar cuando desea saber a quién culpar. Ya sea para bien o para mal, CloudTrail puede permitirle ver quién ha hecho qué en su cuenta de AWS y permite un método detallado de seguimiento de llamadas API, iniciar análisis de seguridad y garantizar un alto nivel de cumplimiento según su caso de uso.
¿Cómo funciona CloudTrail?
Para empezar, CloudTrail funciona de forma inmediata en su cuenta de AWS cuando la crea por primera vez. Cada vez que se produce una actividad en su cuenta de AWS, CloudTrail la rastrea y, posteriormente, la registra. Para ver la actividad en su cuenta, simplemente vaya a la sección Historial de eventos en CloudTrail en la consola de administración de AWS.
Antes de que nos adelantemos demasiado, es importante comprender alguna terminología clave en CloudTrail.
Trail: Un trail (rastro) es una configuración dentro de CloudTrail que permite que sus eventos se envíen en forma de registro a un depósito S3 de su elección. Se puede realizar un seguimiento mediante la consola de administración de AWS, el SDK o la CLI.
Al pensar en Trails, puede crear dos tipos diferentes de CloudTrail Trails en su cuenta de AWS.
Un trail global: Este tipo de rastro pertenece a todas las regiones de AWS. Esta es la opción predeterminada al elegir un seguimiento, ya que se recomienda como práctica recomendada habilitar Global Trails para permitirle saber lo que sucede en toda su cartera de AWS.
Un trail regional: Sólo registra eventos que existen en una región, y vale la pena señalar que esta acción solo se puede realizar mediante la CLI, y esta es la opción predeterminada cuando se crean trails de esta manera. Puede optar por especificar si estos registros se registran o no en el mismo buecket S3 o en diferentes, según sus preferencias.
Los trails son el componente fundamental de CloudTrail. También puede utilizar CloudTrail en AWS Organizations. Simplemente marque una casilla para asegurarse de que todo el tráfico de su organización de AWS se incluya en un rastro.
También vale la pena señalar que, desde una perspectiva de seguridad, puede cifrar sus registros de usuario SSE desde KMS (Cifrado del lado del servidor utilizando el servicio de administración de claves de AWS).
Otra cosa que puede hacer para mejorar el uso de la seguridad en CloudTrail es habilitar algo llamado "Validación del archivo de registro" con la marca de una casilla. Lo que esto hace es informarle si un actor malicioso ha manipulado sus registros. No evita que alguien los alerte, simplemente es un indicador de cuán confiables son.
¡Más seguridad! Hay otra característica interesante de CloudTrail que (similar a la detección de anomalías en CloudWatch) le brinda información sobre nuestra cuenta mediante el análisis de eventos de administración en su cuenta de AWS para detectar actividad inusual en su cuenta. Esto se llama CloudTrail Insights.
Vamonos
Otra buena manera de ver cómo funciona CloudTrail es hacerse algunas preguntas; ¿Quién? ¿Qué? ¿Dónde? ¿Cuándo? Estas son las preguntas a las que CloudTrail le da respuesta.
¿Quién? — SO, idioma, usuario mismo.
¿Qué? — Región, recurso, acción, etc.
¿Dónde? — La dirección IP de origen del usuario que realizó la llamada a la API.
Con toda esta información, puede ser muy minucioso para averiguar quién está confiando qué en su cuenta.
Como prometimos anteriormente, dijimos que profundizaríamos más en cómo también podemos configurar el envío de eventos de CloudTrail a CloudWatch. Hay una opción después de crear una prueba en la que simplemente puede volver a marcar una casilla y enviar sus registros directamente a CloudWatch para que se manejen allí. Sin embargo, esto no se puede hacer al revés.
También hay dos tipos de eventos en CloudTrail, eventos de datos y eventos de gestión.
Vayamos primero a los eventos de datos
Cuando elige implementar eventos de datos en CloudTrail, decide registrar la actividad de la API a nivel de objeto. Cuando hace esto, ve quién hizo la solicitud, dónde y cuándo se hizo, etc.
Los eventos de datos en CloudTrail registran las operaciones realizadas en el propio recurso y, por lo general, son actividades de gran volumen por naturaleza.
Puede utilizar eventos de datos en CloudTrail para registrar los siguientes eventos como ejemplo;
API de nivel de objeto de Amazon S3
API de invocación de funciones de AWS Lambda
API de nivel de elemento de DynamoDB
Entonces, ¿qué son los eventos de gestión?
Los eventos de administración le dan una idea de todas las acciones administrativas en su cuenta. Puede detallar como los siguientes desde eventos de gestión;
Cuenta AWS
Rol de usuario de IAM
La dirección IP del usuario que inició la acción
Tiempo de la acción
¿Qué recursos se vieron afectados?
Precios de CloudTrail
La buena noticia es que puede comenzar con AWS CloudTrail de forma gratuita. Esto implica el uso de la cuenta de capa gratuita que se le proporciona automáticamente cuando abre una cuenta de AWS por primera vez, donde en el primer año de apertura de su cuenta tiene una gran cartera de servicios gratuitos para elegir.
Sin incluir la prueba gratuita, existen diferentes costos para los eventos de datos y los eventos de gestión.
En primer lugar, solo paga por lo que usa, como ocurre con la mayoría de los servicios de AWS. Los precios son los siguientes:
Eventos de gestión entregados a S3: La primera copia de los eventos de gestión se entrega gratis. Copias adicionales: $2,00 por cada 100.000 eventos de gestión entregados.
Eventos de datos entregados a S3: $0.10 por 100,000 eventos de datos entregados
¡Muchas gracias por leer! ¡Vea nuestra publicación de mañana para ver una publicación de blog sobre AWS Opsworks!
¡Sigue construyendo!