En esta época de transformación digital, agilidad e innovación, es crítico que tanto los emprendedores como las empresas de todo tamaño consideren los riesgos que existen al iniciar la adopción de la nube con el fin de fortalecer sus posturas de seguridad.

Tal vez esto nos parezca algo excesivo al inicio, pero todo depende del tipo de industria donde nos encontremos. Empresas que deben cumplir con regulaciones y alto estándares de Seguridad, están más familiarizadas con la segregación de servicios y componentes. Mientras que las organizaciones medianas y pequeñas puede que no reconozcan en un inicio el impacto de la implementación oportuna de esta buena práctica.

Este concepto que se introduce aproximadamente 5 o 6 años, y fue presentado por primera vez durante en re:Invent 2016.  La idea detrás de la estrategia es utilizar la cuenta de AWS cómo la unidad perimetral básica a la hora de aislar los recursos desplegados en AWS; tanto desde el punto de vista técnico como de facturación.

La buena noticia es que una estrategia de gestión y gobierno de cuentas múltiples en la nube ha ido evolucionando y hoy se denomina formalmente AWS Control Tower.

¿Qué es AWS Control Tower?

Es un servicio, o como a mí más me gusta llamarlo un orquestador, que encontraremos bajo la clasificación de Administración y Gobernanza

AWS Control Tower ofrece una forma sencilla de configurar y gobernar un entorno multicuenta de AWS, siguiendo las mejores prácticas.

AWS Control Tower orquesta las capacidades de varios otros servicios tales como: AWS Organizations, AWS Service Catalog y AWS IAM Identity Center (sucesor de AWS Single Sign-On), para construir lo que conocemos como una Landing Zone en menos de una hora.

El aprovisionamiento de nuevas cuentas se realiza con un clic, automatizando la configuración de la seguridad y garantizando la aplicación de la conformidad de las nuevas cuentas, sin ninguna intervención manual.

Con AWS Control Tower, no tenemos que elegir entre la agilidad y el control – Podemos tener ambos

Características principales de AWS Control Tower

Landing Zone

Es un entorno de nube que ofrece un punto de partida recomendado, incluidas las cuentas predeterminadas, la estructura de cuentas, los diseños de red y seguridad, y la centralización de los eventos de Amazon CloudTrail y AWS Config.

Es desde aquí que se vigilan las normas o reglas establecidos por nosotros o las que están predefinidas para asegurar que se cumplen los requisitos de seguridad.

Normas o Medidas de Control – Guardrails

Los Guardrails son reglas escritas en lenguaje natural, que aprovechan AWS CloudFormation en segundo plano para establecer la línea de base de seguridad con que las cuentas deben cumplir.

Los Guardrails pueden encajar en una de varias categorías: Mandatorios, Detectivos, Preventivos, Opcionales. En la siguiente tabla mostramos algunos ejemplos:

 

Account Factory

Es aquí donde aprovisionamos las nuevas cuentas dentro de nuestra organización, a través de plantillas preaprobadas que nos permiten escoger regiones, rangos de redes, entre otras cosas componentes de línea base que cumplan con las políticas empresariales y de seguridad.

Beneficios al utilizar AWS Control Tower

  • Configuración rápida de un entorno nuevo de AWS
  • Automatización de la administración continua de políticas y normas
  • Desde Abril de 2020 se puede extender la capacidad de Control Tower a cuentas existentes
  • Integración con herramientas como Account Factory for Terraform

Todas las organizaciones sin importar su sector o tamaño pueden beneficiarse del uso de AWS Control Tower. El uso adecuado de Landing Zone nos proporciona la confianza de que se están aprovisionando la arquitectura de forma eficiente y segura.