AWS CloudTrail: Registros para la monitorización/seguridad de recursos

AWS CloudTrail: Registros para la monitorización/seguridad de recursos

¿En qué consiste el servicio Amazon CloudTrail?

El servicio Amazon CloudTrail provee visibilidad de la actividad del usuario granando las llamadas a la API realizadas en su cuenta.

Guarda información importante acerca de cada llamada, incluyendo el nombre de la API, identidad de quien llamo, tiempo de la llamada, parámetros y los elementos de respuesta retornados por el servicio. Esta información ayuda a monitorear los cambios realizados por a los recursos de AWS y solucionar problemas operacionales.

CloudTrail hace sencillo cumplir con las normas internas de las políticas y estándares regulatorios.

La actividad capturada es enviada a un bucket de S3 que usted especifique u opcionalmente a un grupo de monitoreo en CloudWatch, a SNS (cada vez que es recibido un log en un bucket).

Se pueden crear trail con la consola, cli o api. Un trail es una configuración que permite loguear la actividad de la API relacionada con su cuenta.

¿Cuáles son los tipos de trail que existen en CloudTrail?

Sobre todas las regiones (default)

Crea un trail en cada region, guarda los logs en archivos log en cada region y entrega los logs a un solo bucket de S3 (opcionalmente un grupo en CloudWatch).

Sobre una sola región

Se especifica el bucket que recibe los eventos en solo esa región. El bucket puede estar en cualquier región.

Por default los log files son encriptados utilizando SSE. Se pueden almacenar los files en los buckets por el tiempo que se desee, pero también se pueden definir reglas de ciclo de vida de los buckets para archivar o borrar los logs automáticamente.

CloudTrail generalmente entrega los log files dentro de 15 minutos posteriores a una API call. Ademas, el servicio publica nuevos archivos logs múltiples veces en una hora, usualmente cada 5 minutos. Estos contienen llamadas desde todos los cuentas que soporten CloudTrail.

¿Cuáles son los casos de uso para CloudTrail?

  • Auditorias de cumplimiento de normas.
  • Acceso no autorizado a su cuenta de AWS (detección mediante examinación).