Así que ahora estoy respondiendo mi propia pregunta. Ahora hemos analizado prácticamente todas las opciones disponibles. Desafortunadamente, SourceFire no es realmente una opción en AWS y no se ofrece en AWS Marketplace. Ciertamente, puede optar por implementar esto usted mismo, así como simplemente usando snort o, de hecho, ModSecurity. Pero estábamos buscando algo que estuviera un poco más empaquetado para AWS y que también viniera con algún servicio de monitoreo opcional.
Terminamos yendo con el Administrador de amenazas de Alert Logic con monitoreo AciveWatch. El Administrador de amenazas para AWS parece estar comercializado por Alert Logic como Administrador de seguridad web, pero cuando lo compra aparece en la lista como Administrador de amenazas, tal vez su personal de marketing lo endurezca pronto. 😉
De todos modos, su IDS es genial. También nos da la capacidad de hacer algunos análisis básicos de vulnerabilidad de PCI externa. El servicio ActiveWatch monitorea el tráfico recolectado por Threat Manager y el equipo de analistas de seguridad de Alert Logic tiene instrucciones de escalación para informarnos cuando los patrones parecen sospechosos y trabajar con nosotros para remediarlos.
- ¿Hay alguna forma de entrar en una computadora sin dejar rastro (no con el propósito de estafar a una empresa sin dinero)?
- ¿Qué se siente ser un hacker de sombrero negro?
- ¿Cómo rastrea Quora a los espectadores de una pregunta / respuesta / publicación de blog?
- ¿Qué es el enraizamiento?
- ¿Qué es un ataque de hombre en el medio?
Para complementar lo que proporciona Alert Logic, utilizamos McAfee Secure para realizar un análisis interno de vulnerabilidades. La diferencia aquí es que McAfee Secure está configurado para iniciar sesión en nuestra aplicación y rastrear, probando todas las páginas en busca de vulnerabilidades como XSS o inyección SQL. Por lo tanto, podemos probar con cada versión de producción para asegurarnos de que nunca introduzcamos nuevas vulnerabilidades. El informe resultante proporciona los requisitos de PCI para las pruebas de vulnerabilidad. El requisito real es realizar pruebas trimestrales, pero lo hacemos varias veces al mes.
Para completar los requisitos de seguridad de PCI, utilizamos Perimeter eSecurity para realizar pruebas de penetración. El requisito real es la prueba anual de la pluma, pero lo haremos con más frecuencia, siempre que configuremos nuevos entornos en otras regiones de AWS o cuando realicemos cambios significativos en la arquitectura general de la infraestructura de la aplicación. Esto puede suceder a menudo, ya que siempre estamos buscando aprovechar los servicios nuevos y / o mejorados de AWS para proporcionar el entorno más escalable, resistente y seguro posible.
Espero que esto sea útil para cualquiera que quiera asegurarse de que su configuración de AWS sea segura. Agradezco cualquier comentario u otras experiencias que cualquiera de ustedes haya tenido sobre este tema.