Cómo lograr un gobierno de múltiples cuentas a escala con AWS Control Tower — Parte 1

Gerardo Castro Arica
7 min readFeb 7, 2023

Hoy en día, los clientes de las industrias reguladas enfrentan el desafío de definir y hacer cumplir los controles necesarios para cumplir con los requisitos de cumplimiento y seguridad, en la mayoría de casos, es posible que las organizaciones también deban cumplir con marcos y estándares como ISO 27001 y NIST 800–53.

Mantener la seguridad y la gobernabilidad en un modelo de múltiples cuentas podría ser un desafío para algunas organizaciones. Sin controles preventivos estructurados aplicados a escala (guardrails) y la aplicación de configuraciones básicas (Baseline), la solución de problemas y la mitigación de riesgos puede requerir un esfuerzo mayor al esperado.

¿Qué es una cuenta AWS?

Una cuenta AWS representa un límite de seguridad que aísla nuestros recursos y cargas de trabajo frente a las cargas de otros clientes de AWS, aunque hagamos uso de la misma región, la misma zona de disponibilidad e incluso el mismo centro de datos.

¿Qué estrategia me conviene usar: Cuenta única o Multi-Cuenta?

Si tu propósito es hacer uso de una cuenta con fines de aprendizaje, pruebas, sandbox, entonces te recomendaría solo tener una única cuenta AWS para que sea más sencilla de administrar.

Pero, si vas a utilizar la nube para tu empresa u organización, para alguna carga de trabajo productiva, se recomienda un esquema multi-cuentas, por las siguientes razones:

  • Para separar tu infraestructura en entornos como producción, testing y desarrollo.
  • Si desde un punto de vista temprano, sabes que vas a gestionar una infraestructura a escala, para separar las cargas de trabajo y que un despliegue de una unidad de negocio no afecte las cargas de otra unidad.
  • Para simplificar la separación de costos Unidades de negocio o proyecto, en cada cuenta.

Entonces, ¿Cómo podemos gestionar a escala consistentemente múltiples cuentas de AWS? Usando AWS Control Tower, el mismo que ya fué anunciado de manera global en 2019 para los clientes de AWS. Este servicio automatiza el aprovisionamiento de cuentas con una configuración básica consistente, simplifica la gobernanza, y el cumplimiento de múltiples cuentas con modelos prescriptivos y prácticas recomendadas.

Introducción

En este blog post, les mostraré cómo activar AWS Control Tower, asumiré que es la primera vez que usaras este servicio, iré paso a paso para que no te pierdas de nada. Si ya tienes el conocimiento básico o configuraste el servicio, te invito a ver la parte 2 de esta serie.

Descripción general del servicio:

AWS Control Tower configura tres cuentas de referencia (Management Account, Log Archive y Security Audit) que proporcionan entornos dedicados para funciones especializadas dentro de su organización.

Les dejo una breve descripción de cada cuenta de referencia:

  • Management Account contiene información de facturación para cada recurso en su landing zone.
  • Log Archive proporciona a su equipo el acceso a la información de registro (logs) de todas sus cuentas asociadas.
  • Security Audit proporciona a su equipo el acceso a la información de auditoría que AWS Control Tower pone a su disposición, principalmente por motivos de seguridad y cumplimiento.

Características adicionales:

  • Landing zone: Es el entorno general de las múltiples cuentas que AWS Control Tower configura por nosotros, a partir de una cuenta de AWS nueva.
  • Controls: Tambien conocido como guardrail, es una regla de alto nivel que proporciona un gobierno continuo para nuestro entorno general de AWS.
  • Existen tres tipos de controles:
  • preventivo
  • detectivo
  • proactivo
  • Se aplican tres categorías de orientación a los controles:
  • mandatorios
  • fuertemente recomendados
  • electivos.
  • Account Factory: es una plantilla de cuenta configurable que ayuda a estandarizar el aprovisionamiento de nuevas cuentas con configuraciones de cuenta preaprobadas.
  • Dashboard: ofrece una supervisión continua de su landing zone a su equipo de administradores de la nube central.

Cómo Activar AWS Control Tower:

Desde su cuenta root (o Management Account), ir al servicio de AWS Control Tower y dar clic en “Set Up Landing Zone”

AWS Control Tower verificará ciertos requisitos como el no tener activado Cloudtrail y Config a nivel Organizacional para determinar si tu cuenta root esta lista para ser configurada. De no cumplir con algunos de estos requisitos, te aparecerá un mensaje así:

Es importante corregir los requisitos fallidos para poder darle “Rechek”.

Paso 1: Revisión de precios y Selección de regiones

  • Home Region: Esta es la región predeterminada donde se aprovisionan los recursos de sus cuentas compartidas.
  • Deny Region Control: El control de denegación de región es único, porque se aplica a su landing zone como un todo, en lugar de a cualquier unidad organizativa específica. Si aún no tiene idea de que regiones denegar, puede dejar esta opción en “not enabled” ya que puede cambiarse después.
  • Additional AWS Region: Permite seleccionar las regiones que estarán bajo el gobierno de AWS Control Tower adicional al “Home Region” seleccionado. Aún podrá aprovisionar sus recursos en las regiones no seleccionadas, pero debe tener en cuenta que no estarán bajo el gobierno de AWS Control Tower. También puede configurar esta opción más tarde.

Paso 2: Configurar unidades organizativas (OU)

Las mejores prácticas de AWS para un entorno bien diseñado recomiendan que debe separar sus recursos y cargas de trabajo en varias cuentas de AWS y que se agrupan (a menudo) en unidades organizativas (OU) con fines de gobierno y control.

AWS Control Tower configura automáticamente algunas de estas unidades organizativas:

Foundational OU: que contiene 3 cuentas compartidas: Management Account, Log Archive y Security Audit (también conocida como Audit).

Additional OU: para ayudar a configurar una estrategia multi-cuentas, es recomendable crear una OU secundaria al configurar la landing Zone. Esta OU se puede utilizar para almacenar cualquier cuenta de producción o desarrollo.

Paso 3: Configurar cuentas compartidas

AWS Control Tower requiere dos direcciones de correo electrónico únicas que aún no estén asociadas con una cuenta de AWS. Cada una de estas dos direcciones de correo electrónico se convierte en una bandeja de entrada colaborativa, lo que significa que cada una se convierte en una cuenta de correo electrónico compartida, a la que pueden acceder usuarios específicos de su empresa que realizan trabajos relacionados con AWS Control Tower.

Paso 4: Configurar CloudTrail y encriptación

AWS CloudTrail es un servicio que registra continuamente las actividades de su cuenta de AWS y está habilitado de forma predeterminada para los trails (rastreo) de CloudTrail a nivel de organización.

Los trails a nivel de organización agrega registros para todas las cuentas en la organización de AWS, incluidas las cuentas que no están gobernadas por AWS Control Tower. Puede cambiar esta configuración más adelante para evitar cargos adicionales de CloudTrail en las cuentas que no estén bajo el gobierno de AWS Control Tower.

De manera opcional, en la sección de “Log configuration for Amazon S3” puede configurar el tiempo de retención del bucket de archivos de registro de Amazon S3 y el tiempo de retención de los registros para acceder al depósito.

Y en la sección de “KMS Encryption” puede seleccionar una llave KMS existente o crear una nueva que cifre los registros almacenados en el bucket que AWS Control Tower crea para almacenar los registros de Cloudtrail a nivel Organizacional. Tenga en cuenta que esta llave deberá tener permisos sobre CloudTrail. Esta opción está deshabilitada de manera predeterminada y puede configurarse más adelante.

Paso 5: Revisar y configurar la landing zone

Finalmente, después de toda la configuración de los pasos previos, deberás marcar la casilla de verificación y dar clic en “Set Up landing zone”

El proceso que toma esta configuración dura aproximadamente 1 hora (60 minutos).

Pantallas o secciones adicionales:

La consola ofrece algunas acciones recomendadas:

En este punto, se pueden ver y habilitar los controles obligatorios, opcionales y fuertemente recomendados:

Puedo ver las unidades organizativas (OU) y las cuentas, y el estado de cumplimiento de cada una (con respecto a las medidas de seguridad):

Hasta aquí, ya tenemos activado AWS Control Tower. En la parte 2 de este blog, te mostraré algunas tareas operacionales que puedes hacer para administrar de manera eficiente este servicio.

Te invito a compartir este blog, reaccionar y dejar un comentario de que te tan útil encuentras contenido como este. y te dejamos todas nuestras redes para que puedas seguirnos 🤝

🌎 CONTACTO:

🔥 MÁS CONTENIDO:

🚨 Si quieres estar enterado de todo nuestros contenidos, no olvides suscribirte, y ¡compartir!

⚠️ Si alguno de nuestros enlaces no funciona, no dudes en reportarlo.

Originally published at https://dev.to on February 7, 2023.

--

--

Gerardo Castro Arica

Padre, hijo y hermano 👨‍👩‍👦‍👦 Creador de contenido en Youtube. Escritor de blogs técnicos. #AWSSecurity #AWSCommunity Sígueme en mis redes sociales 👇