Descubres que CloudTrail (registro de auditoría del plano de control) está deshabilitado en una cuenta de producción. ¿Por qué importa y qué haces?
Respuesta breve
Sin registros de auditoría del plano de control estás ciego ante quién hizo qué a nivel de nube, y la detección, la forense y el cumplimiento dependen de ese registro. Activa CloudTrail de inmediato, a nivel de organización, entregando a un bucket separado, con acceso controlado y resistente a manipulación (inmutable). Decir que no importa mientras nada vaya mal ignora que no tendrías historial cuando algo vaya mal. Esperar a un incidente significa que las primeras acciones decisivas ya quedan sin registrar e irrecuperables. Los registros de aplicación no capturan la actividad de API, IAM ni consola del plano de control.
El registro de auditoría es el cimiento sobre el que se apoya todo lo demás. El entrevistador quiere oír que tratas la ausencia de registros del plano de control como un riesgo activo, porque el coste de no tenerlos solo se paga en mitad de un incidente, cuando ya es tarde para arreglarlo.
Por qué importa
CloudTrail registra la actividad de API del plano de control: quién llamó a qué, desde dónde, cuándo: cambios de IAM, inicios de sesión en consola, creación y eliminación de recursos, ediciones de políticas. Sin él no tienes ningún registro de la actividad de la cuenta. Las reglas de detección no tienen nada con lo que dispararse, un respondedor de incidentes no tiene cronología que reconstruir, y los marcos de cumplimiento que exigen un rastro de auditoría quedan incumplidos. Los registros de aplicación operan un nivel por encima; no dicen nada sobre llamadas de API, IAM ni acciones de consola en el plano de control de la nube.
Qué haces
Activa CloudTrail ahora, a nivel de organización (para que cada cuenta actual y futura quede cubierta por defecto), entregando a un destino separado, con acceso controlado e inmutable, idealmente una cuenta de registro dedicada con S3 Object Lock / validación de archivos de registro, para que ni siquiera un administrador (o atacante) de la cuenta de producción pueda borrar o manipular en silencio el historial.
Por qué los distractores son incorrectos
- «No importa mientras nada vaya mal.» El sentido de los registros de auditoría es tener el historial antes de que algo vaya mal. Para cuando los necesitas, no puedes crearlos retroactivamente.
- Activarlo solo tras un incidente. Las primeras acciones, las más diagnósticas, de un incidente —el acceso inicial, la escalada de privilegios— ocurren antes de que lo actives. Estarías investigando con una cinta en blanco para la parte que más importa.
- Confiar en los registros de aplicación. Útiles, pero a otro nivel. No capturan la actividad de API, IAM ni del plano de control, así que no pueden decir quién creó un usuario malicioso o deshabilitó un control de seguridad.
Qué buscan los entrevistadores
Tratarlo como urgente, activar cobertura a nivel de organización y proteger la integridad del rastro (cuenta separada, almacenamiento inmutable, validación de registros). Los buenos candidatos notan que los atacantes suelen intentar deshabilitar el registro, así que una alarma sobre StopLogging/DeleteTrail es en sí misma una detección clave.
Posibles preguntas de seguimiento
- ¿Por qué el rastro debe ir a una cuenta separada o a un bucket inmutable en lugar de a la misma cuenta?
- ¿Qué tipos de actividad captura CloudTrail que los registros de aplicación nunca capturarán?
- Si un atacante deshabilitó el rastro, ¿cómo lo sabrías siquiera, y cómo lo evitas?