Mejores prácticas de IAM AWS Summit Ciudad de México - Jueves, 26 de mayo

1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Mauricio Muñoz
Enterprise Solutions Architect
Mayo de 2016
AWS IAM – Mejores prácticas

2. ¿Qué veremos hoy?
• Definiciones
• Mejores prácticas
• Dilemas
• Demostraciones
• Extensión de funcionalidades de
seguridad: Trend Micro

3. Definiciones

4. ¿Por qué AWS Identity and Access Management (IAM)?
Para que usted pueda controlar quién puede hacer qué en su cuenta AWS.

5. ¿Por qué AWS Identity and Access Management (IAM)?
Para que usted pueda controlar quién puede hacer qué en su cuenta AWS.
Primitivas:
- Usuarios, Grupos, Recursos, Acciones
- Políticas, Roles

6. ¿Por qué AWS Identity and Access Management (IAM)?
Para que usted pueda controlar quién puede hacer qué en su cuenta AWS.
Primitivas:
- Usuarios, Grupos, Recursos, Acciones
- Políticas, Roles
Control:
- Centralizado
- Granular (APIs), Recursos, Acceso a AWS Management Console

7. ¿Por qué AWS Identity and Access Management (IAM)?
Para que usted pueda controlar quién puede hacer qué en su cuenta AWS.
Primitivas:
- Usuarios, Grupos, Recursos, Acciones
- Políticas, Roles
Control:
- Centralizado
- Granular (APIs), Recursos, Acceso a AWS Management Console
Seguridad:
- Negación por defecto
- Múltiples usuarios: Credenciales y permisos individuales

8. Mejores Prácticas

9. Mejores Prácticas
• Gestión de usuarios y permisos
• Gestión de credenciales
• Delegación

10. Gestión de usuarios y permisos
0. Crear usuarios individuales. Ventajas
• Credenciales únicas
• Fácil rotación
• Permisos individuales
• Visibility into your user activity by recording AWS API calls to
an Amazon S3 bucket

11. Gestión de usuarios y permisos
0. Crear usuarios individuales.
1. Menor privilegio (LP and NtK).
Ventajas
- Menor probabilidad de error
humano
- Abordaje restrictivo ->
permisivo
- Control más granular
• Visibility into your user activity by
recording AWS calls to an Amazon

12. Gestión de usuarios y permisos
0. Crear usuarios individuales.
1. Menor privilegio (LP and NtK).
2. Usar grupos para administrar privilegios.
Ventajas
- Asignar los mismos permisos
a varios usuarios
- Fácil reasignación de
permisos
- Centralización de cambios
para múltiples usuarios

13. Gestión de usuarios y permisos
0. Crear usuarios individuales.
1. Menor privilegio (LP and NtK).
2. Usar grupos para administrar privilegios.
3. Usar ”Condiciones” para restricciones
adicionales.
Ventajas
- Granularidad adicional
- Disponible para cualquier
API AWS
- Reduce la posibilidad de
ejecutar accidentalmente
acciones privilegiadas

14. Gestión de usuarios y permisos
0. Crear usuarios individuales.
1. Menor privilegio (LP and NtK).
2. Usar grupos para administrar privilegios.
3. Usar ”Condiciones” para restricciones
adicionales.
4. Habilitar AWS CloudTrail.
Ventajas
- Visibilidad de las actividades
- Auditoria

15. Gestión de Credenciales
5. Definir una política fuerte de contraseñas. Ventajas
- Dificulta la explotación de
cuentas

16. Gestión de Credenciales
5. Definir una política fuerte de contraseñas.
6. Rotar regularmente las credenciales
Ventajas
- Dificulta la explotación de
cuentas
- Contiene el impacto de
credenciales explotadas

17. Gestión de Credenciales
5. Definir una política fuerte de contraseñas.
6. Rotar regularmente las credenciales
7. Configurar MFA.
Ventajas
- Autenticación fuerte
- Protección adicional para
acciones privilegiadas

18. Delegación
8. Usar roles IAM para acceso compartido.
Ventajas
- No compartir credenciales
- No almacenar credenciales
de largo plazo
- Varios casos de uso:
- Acceso cross-account
- Delegación intra-account
- Federación

19. Delegación
8. Usar roles IAM para acceso compartido.
9. Usar roles IAM para instancias EC2.
Ventajas
- Fácil manejo de credenciales
en instancias
- Rotación automática
- “Least privilege” a nivel de
aplicación
- Integrado con SDKs y CLI

20. Delegación
8. Usar roles IAM para acceso compartido.
9. Usar roles IAM para instancias EC2.
10. Elimine (o reduzca) el uso de root.
Ventajas
- Reduce la probabilidad de
mala utilización de la cuenta
- Reduce la probabilidad de
explotación

21. Top 11 IAM best practices
0. Usuarios – Cree usuarios individuales.
1. Permisos – “Least Privilege”.
2. Grupos – Administre permisos con grupos.
3. Condiciones – Restrinja acceso privilegiado con condiciones.
4. Auditoria – Habilite AWS CloudTrail para registrar las llamadas.
5. Contraseñas – Configure una política fuerte.
6. Rotación – Rote regularmente las credenciales de seguridad.
7. MFA – Habilite MFA para usuarios privilegiados.
8. Accesso compartido– Use roles IAM para compartir accesos.
9. Roles – Use roles IAM para instancias Amazon EC2.
10. Root – Elimine (o reduzca) el uso de root.

22. Dilemas
(O, ¿Cuándo debo usar <xyz>?

23. Usuario IAM Usuario Federado
¿ Usuario IAM ó Usuario Federado ?

24. ¿ Usuario IAM ó Usuario Federado ?
• Depende del lugar donde está el repositorio de autenticación
– On-premises → Usuarios federados (roles IAM)
– Cuenta AWS → Usuarios IAM

25. ¿ Usuario IAM ó Usuario Federado ?
• Depende del lugar donde está el repositorio de autenticación
– On-premises → Usuarios federados (roles IAM)
– Cuenta AWS → Usuarios IAM
• Otros casos de uso:
– Delegar acceso a su cuenta → Usuarios federados (roles IAM)
– Acceso de aplicación móvil → SIEMPRE usuarios federados

26. ¿ Usuario IAM ó Usuario Federado ?
• Depende del lugar donde está el repositorio de autenticación
– On-premises → Usuarios federados (roles IAM)
– Cuenta AWS → Usuarios IAM
• Otros casos de uso:
– Delegar acceso a su cuenta → Usuarios federados (roles IAM)
– Acceso de aplicación móvil → SIEMPRE usuarios federados
IMPORTANTE: Nunca comparta credenciales.

27. prod@ejemplo.com
Acct ID: 999999999999test@ejemplo.com
Acct ID: 111111111111
¿ Cómo funciona el acceso federado ?
Usuario IAM user:
mauricio
STS

28. prod@ejemplo.com
Acct ID: 999999999999
role-ddb
test@ejemplo.com
Acct ID: 111111111111
¿ Cómo funciona el acceso federado ?
Usuario IAM user:
mauricio
STS

29. prod@ejemplo.com
Acct ID: 999999999999
role-ddb
test@ejemplo.com
Acct ID: 111111111111
{ "Statement": [
{
"Effect":"Allow",
"Principal":{"AWS":"111111111111"},
"Action":"sts:AssumeRole"
}]}
¿ Cómo funciona el acceso federado ?
role-ddb confía en los usuarios IAM de la cuenta
test@ejemplo.com (111111111111)
Usuario IAM user:
mauricio
STS

30. prod@ejemplo.com
Acct ID: 999999999999
role-ddb
{ "Statement": [
{ "Action":
[
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:DescribeTable",
"dynamodb:ListTables"
],
"Effect": "Allow",
"Resource": "*“
}]}
test@ejemplo.com
Acct ID: 111111111111
{ "Statement": [
{
"Effect":"Allow",
"Principal":{"AWS":"111111111111"},
"Action":"sts:AssumeRole"
}]}
¿ Cómo funciona el acceso federado ?
role-ddb confía en los usuarios IAM de la cuenta
test@ejemplo.com (111111111111)
Usuario IAM user:
mauricio
Permisos definidos para role-ddb
STS

31. prod@ejemplo.com
Acct ID: 999999999999
role-ddb
{ "Statement": [
{ "Action":
[
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:DescribeTable",
"dynamodb:ListTables"
],
"Effect": "Allow",
"Resource": "*“
}]}
test@ejemplo.com
Acct ID: 111111111111
{ "Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource":
"arn:aws:iam::999999999999:role/ddb-role"
}]}
{ "Statement": [
{
"Effect":"Allow",
"Principal":{"AWS":"111111111111"},
"Action":"sts:AssumeRole"
}]}
¿ Cómo funciona el acceso federado ?
role-ddb confía en los usuarios IAM de la cuenta
test@ejemplo.com (111111111111)
Permisos asignados a
mauricio, permitiéndole
asumir el role-ddb en la
cuenta 999999999999
Usuario IAM user:
mauricio
Permisos definidos para role-ddb
STS

32. prod@ejemplo.com
Acct ID: 999999999999
role-ddb
{ "Statement": [
{ "Action":
[
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:DescribeTable",
"dynamodb:ListTables"
],
"Effect": "Allow",
"Resource": "*“
}]}
test@ejemplo.com
Acct ID: 111111111111 Autentica con las
credenciales de
mauricio
{ "Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource":
"arn:aws:iam::999999999999:role/ddb-role"
}]}
{ "Statement": [
{
"Effect":"Allow",
"Principal":{"AWS":"111111111111"},
"Action":"sts:AssumeRole"
}]}
¿ Cómo funciona el acceso federado ?
role-ddb confía en los usuarios IAM de la cuenta
test@ejemplo.com (111111111111)
Usuario IAM user:
mauricio
Permisos definidos para role-ddb
STS
Permisos asignados a
mauricio, permitiéndole
asumir el role-ddb en la
cuenta 999999999999

33. prod@ejemplo.com
Acct ID: 999999999999
role-ddb
{ "Statement": [
{ "Action":
[
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:DescribeTable",
"dynamodb:ListTables"
],
"Effect": "Allow",
"Resource": "*“
}]}
test@ejemplo.com
Acct ID: 111111111111 Autentica con las
credenciales de
mauricio
Obtiene
credenciales
temporales para
role-ddb
{ "Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource":
"arn:aws:iam::999999999999:role/ddb-role"
}]}
{ "Statement": [
{
"Effect":"Allow",
"Principal":{"AWS":"111111111111"},
"Action":"sts:AssumeRole"
}]}
¿ Cómo funciona el acceso federado ?
role-ddb confía en los usuarios IAM de la cuenta
test@ejemplo.com (111111111111)
Usuario IAM user:
mauricio
Permisos definidos para role-ddb
STS
Permisos asignados a
mauricio, permitiéndole
asumir el role-ddb en la
cuenta 999999999999

34. prod@ejemplo.com
Acct ID: 999999999999
role-ddb
{ "Statement": [
{ "Action":
[
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:DescribeTable",
"dynamodb:ListTables"
],
"Effect": "Allow",
"Resource": "*“
}]}
test@ejemplo.com
Acct ID: 111111111111 Autentica con las
credenciales de
mauricio
Obtiene
credenciales
temporales para
role-ddb
Llama la API AWS,
usando las
credenciales
temporales de role-
ddb
{ "Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource":
"arn:aws:iam::999999999999:role/ddb-role"
}]}
{ "Statement": [
{
"Effect":"Allow",
"Principal":{"AWS":"111111111111"},
"Action":"sts:AssumeRole"
}]}
¿ Cómo funciona el acceso federado ?
role-ddb confía en los usuarios IAM de la cuenta
test@ejemplo.com (111111111111)
Usuario IAM user:
mauricio
Permisos definidos para role-ddb
STS
Permisos asignados a
mauricio, permitiéndole
asumir el role-ddb en la
cuenta 999999999999

35. ¿ Access Keys ó Contraseñas?
AWS Access Keys Contraseñas

36. ¿ Access Keys ó Contraseñas?
• Depende de cómo los usuarios accederán a AWS
– AWS Management Console → Contraseña
– API, CLI, SDK → Access keys

37. ¿ Access Keys ó Contraseñas?
• Depende de cómo los usuarios accederán a AWS
– AWS Management Console → Contraseña
– API, CLI, SDK → Access keys
• En cualquier caso, verifique la rotación periódica de credenciales
– Use el reporte “Credential Report” para auditar la rotación.
– Configure política de contraseñas.
– Configure la política de usuario para permitir la rotación.

38. Política de ejemplo para permitir la rotación de llaves
(Usuario IAM)
Política IAM
{
"Version":"2012-10-17",
"Statement":[
]}

39. Política de ejemplo para permitir la rotación de llaves
(Usuario IAM)
Política IAM
{
"Version":"2012-10-17",
"Statement": [{
"Effect": " ",
"Action": [
],
"Resource":
}]}

40. Política de ejemplo para permitir la rotación de llaves
(Usuario IAM)
Política IAM
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
],
"Resource":
}]}

41. Política de ejemplo para permitir la rotación de llaves
(Usuario IAM)
Política IAM
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"iam:CreateAccessKey",
"iam:DeleteAccessKey",
"iam:ListAccessKeys",
"iam:UpdateAccessKey"],
"Resource":
}]}

42. Política de ejemplo para permitir la rotación de llaves
(Usuario IAM)
Política IAM
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"iam:CreateAccessKey",
"iam:DeleteAccessKey",
"iam:ListAccessKeys",
"iam:UpdateAccessKey"],
"Resource":
"arn:aws:iam::123456789012:
user/${aws:username}"
}]}

43. Políticas: ¿ Inline o Managed ?
Políticas Inline Managed Policies

44. Políticas: ¿ Inline o Managed ?
Depende de qué tan “personal” quiera hacerse la política.
• Use Políticas Inline cuando necesite:
• Una relación estricta uno-a-uno entre la política y el principal.
• Evitar que la política sea asignada de forma errónea.
• Eliminar la política cuando se borra el principal.

45. Políticas: ¿ Inline o Managed ?
Depende de qué tan “personal” quiera hacerse la política.
• Use Políticas Inline cuando necesite:
• Una relación estricta uno-a-uno entre la política y el principal
• Evitar que la política sea asignada de forma errónea
• Eliminar la política cuando se borra el principal
• Use Políticas Managed cuando necesite:
• Reutilización.
• Gestión de cambios centralizada.
• Versionamiento y Rollback.
• Delegación de gestión de permisos.
• Actualizaciones automáticas para políticas AWS.
• Tamaños mayores de políticas.

46. ¿ Grupos o Managed Policies?
GRUPOS Managed Policies

47. • Ofrecen beneficios parecidos
– Asignar los mismos permisos a varios usuarios.
– Gerenciamiento centralizado de permisos.
– Actualizaciones cubren múltiples usuarios.
¿ Grupos o Managed Policies?

48. • Ofrecen beneficios parecidos
– Asignar los mismos permisos a varios usuarios.
– Gerenciamiento centralizado de permisos.
– Actualizaciones cubren múltiples usuarios.
• Use grupos cuando necesite:
– Gerenciar usuarios ….
¿ Grupos o Managed Policies?
agrupados.

49. • Ofrecen beneficios parecidos
– Asignar los mismos permisos a varios usuarios.
– Gerenciamiento centralizado de permisos.
– Actualizaciones cubren múltiples usuarios.
• Use grupos cuando necesite:
– Gerenciar usuarios …. agrupados.
• Use Managed Policies cuando necesite:
– Asignar la misma política a usuarios, grupos o roles.
¿ Grupos o Managed Policies?

50. Recomendación: Combine grupos Y Managed Policies
• Use grupos para organizar sus usuarios
• Asigne los permisos a los grupos usando Managed Policies

51. Recomendación: Combine grupos Y Managed Policies
• Use grupos para organizar sus usuarios
• Asigne los permisos a los grupos usando Managed Policies
• Sugerencia: Cree Managed Policies separadas, con permisos específicos
para una situación, servicio o proyecto y asigne varias políticas a cada
grupo.

52. Demo

53. Basado en recursos Basado en Tags
Políticas: ¿ Basadas en Recursos o en Tags?

54. • Use políticas basadas en recursos cuando necesite:
• Controlar acceso a un recurso específico.
• Controlar acceso a la mayoría de recursos AWS.
Políticas: ¿ Basadas en Recursos o en Tags?

55. • Use políticas basadas en recursos cuando necesite:
• Controlar acceso a un recurso específico.
• Controlar acceso a la mayoría de recursos AWS.
• Use políticas basadas en Tags cuando necesite:
• Tratar recursos como una unidad (p.ej: un proyecto).
• Aplicar permisos automáticamente al crear los recursos.
Políticas: ¿ Basadas en Recursos o en Tags?

56. • Use políticas basadas en recursos cuando necesite:
• Controlar acceso a un recurso específico.
• Controlar acceso a la mayoría de recursos AWS.
• Use políticas basadas en Tags cuando necesite:
• Tratar recursos como una unidad (p.ej: un proyecto).
• Aplicar permisos automáticamente al crear los recursos.
Nota:
Estos servicios actualmente soportan políticas de control basadas en Tags:
AWS CloudFormation, AWS Elastic Beanstalk, Amazon EC2 (Incluidos EBS),
Amazon EMR, Amazon ElastiCache, Amazon Glacier, Amazon Kinesis, Amazon
VPC, Amazon RDS, Amazon Redshift, Amazon Route 53 y Amazon S3
http://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/supported-resources.html
Políticas: ¿ Basadas en Recursos o en Tags?

57. ¿ Cómo funciona el control de acceso basado en Tags?
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Project" : ”Barcelona"
}
}
}
]
}
Privilegios asignados a Messi, dándole permiso de
ejecutar cualquier acción EC2 en recursos
marcados con el Tag:
Proyecto=Barcelona
IAM user:
Messi

58. ¿ Cómo funciona el control de acceso basado en Tags?
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Project" : ”Barcelona"
}
}
}
]
}
Privilegios asignados a Messi, dándole permiso de
ejecutar cualquier acción EC2 en recursos
marcados con el Tag:
Proyecto=Barcelona
IAM user:
Messi
i-a1234r12
Proyecto=Barcelona

59. ¿ Cómo funciona el control de acceso basado en Tags?
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Project" : ”Barcelona"
}
}
}
]
}
Privilegios asignados a Messi, dándole permiso de
ejecutar cualquier acción EC2 en recursos
marcados con el Tag:
Proyecto=Barcelona
IAM user:
Messi
i-a1234r12
Proyecto=Barcelona

60. ¿ Cómo funciona el control de acceso basado en Tags?
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Project" : ”Barcelona"
}
}
}
]
}
Privilegios asignados a Messi, dándole permiso de
ejecutar cualquier acción EC2 en recursos
marcados con el Tag:
Proyecto=Barcelona
IAM user:
Messi
i-a1234r12
i-a4321r12
Proyecto=Barcelona
Proyecto=Barcelona

61. ¿ Cómo funciona el control de acceso basado en Tags?
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Project" : ”Barcelona"
}
}
}
]
}
Privilegios asignados a Messi, dándole permiso de
ejecutar cualquier acción EC2 en recursos
marcados con el Tag:
Proyecto=Barcelona
IAM user:
Messi
i-a1234r12
i-a4321r12
Proyecto=Barcelona

62. ¿ Cómo funciona el control de acceso basado en Tags?
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Project" : ”Barcelona"
}
}
}
]
}
Privilegios asignados a Messi, dándole permiso de
ejecutar cualquier acción EC2 en recursos
marcados con el Tag:
Proyecto=Barcelona
IAM user:
Messi
i-a1234r12
i-a4321r12
Proyecto=Barcelona

63. ¿ Cómo funciona el control de acceso basado en Tags?
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Project" : ”Barcelona"
}
}
}
]
}
Privilegios asignados a Messi, dándole permiso de
ejecutar cualquier acción EC2 en recursos
marcados con el Tag:
Proyecto=Barcelona
IAM user:
Messi
i-a1234r12
i-a4321r12
Proyecto=Barcelona
i-a4321b12
Proyecto=Real

64. ¿ Cómo funciona el control de acceso basado en Tags?
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Project" : ”Barcelona"
}
}
}
]
}
Privilegios asignados a Messi, dándole permiso de
ejecutar cualquier acción EC2 en recursos
marcados con el Tag:
Proyecto=Barcelona
IAM user:
Messi
i-a1234r12
i-a4321r12
Proyecto=Barcelona
i-a4321b12
Proyecto=Real

65. Demo

66. Única cuenta Varias cuentas
¿ Una única cuenta AWS o varias?

67. ¿ Una única cuenta AWS o varias?
Use una única cuenta AWS cuando:
• Quiera simplificar el control de quién hace qué en su ambiente AWS.
• No haya necesidad de aislar proyectos/productos/equipos.
• No tenga necesidad de separar costos.

68. ¿ Una única cuenta AWS o varias?
Use una única cuenta AWS cuando:
• Quiera simplificar el control de quién hace qué en su ambiente AWS.
• No haya necesidad de aislar proyectos/productos/equipos.
• No tenga necesidad de separar costos.
Use múltiples cuentas AWS cuando:
• Necesite aislar completamente proyectos/equipos/ambientes.
• Requiera aislar información de auditoria o de recuperación (p. ej:
enviar logs de auditoria (CloudTrail) a una cuenta diferente).
• Requiera una cuenta única, pero con costos y utilización discriminada.

69. Acceso Cross-Account usando roles IAM
todo@moda.com
Acct ID: 111111111111
terra@moda.com
Acct ID: 333333333333
eco@moda.com
Acct ID: 222222222222
IAM user: Armando

70. Acceso Cross-Account usando roles IAM
todo@moda.com
Acct ID: 111111111111
terra@moda.com
Acct ID: 333333333333
eco@moda.com
Acct ID: 222222222222
IAM user: Armando

71. Acceso Cross-Account usando roles IAM
todo@moda.com
Acct ID: 111111111111
terra@moda.com
Acct ID: 333333333333
eco@moda.com
Acct ID: 222222222222
IAM user: Armando

72. Acceso Cross-Account usando roles IAM
todo@moda.com
Acct ID: 111111111111
terra@moda.com
Acct ID: 333333333333
eco@moda.com
Acct ID: 222222222222
IAM user: Armando

73. Acceso Cross-Account usando roles IAM
todo@moda.com
Acct ID: 111111111111
terra@moda.com
Acct ID: 333333333333
eco@moda.com
Acct ID: 222222222222
IAM user: Armando

74. Acceso Cross-Account usando roles IAM
todo@moda.com
Acct ID: 111111111111
terra@moda.com
Acct ID: 333333333333
eco@moda.com
Acct ID: 222222222222
IAM user: Armando

75. Acceso Cross-Account usando roles IAM
todo@moda.com
Acct ID: 111111111111
terra@moda.com
Acct ID: 333333333333
eco@moda.com
Acct ID: 222222222222
IAM user: Armando

76. Acceso Cross-Account usando roles IAM
External identity
provider
otro@moda.com
Acct ID: 444444444444
todo@moda.com
Acct ID: 111111111111
terra@moda.com
Acct ID: 333333333333
eco@moda.com
Acct ID: 222222222222
IAM user: Armando
IAM user: Betty

77. Acceso Cross-Account usando roles IAM
External identity
provider
otro@moda.com
Acct ID: 444444444444
todo@moda.com
Acct ID: 111111111111
terra@moda.com
Acct ID: 333333333333
eco@moda.com
Acct ID: 222222222222
IAM user: Armando
IAM user: Betty

78. Demo

79. Extendiendo las
funcionalidades de Seguridad
en AWS: Trend Micro

80. ¿Qué buscan los
cibercriminales en
tú nube?
Juan Pablo Castro – Director de Innovación Tecnológica

82. Copyright 2016 Trend Micro Inc.84
Retos de seguridad en la nube
Agilidad
Regulaciones,
normatividad
y cumplimiento
Modelo de
Negocio
Visibilidad

87. Aplicar actualizaciones y
parches de seguridad
Alertamiento de
cambios
no autorizados
en los servidores
Inventario de
aplicaiones
y sistemas vulnerables
Firewall
IPS
Anti-Malware
Proteger
vulnerabilidades
conocidas y
desconocidas
Protección de
aplicaciones Web
(SQLi & XSS)
Alertamiento de
accesos y eventos
sospechosos
OPS
INF
SEG
SEG

88. Aplicar actualizaciones y
parches de seguridad
Alertamiento de
cambios
no autorizados
en los servidores
Inventario de
aplicaiones
y sistemas vulnerables
Firewall
IPS
Anti-Malware
Proteger
vulnerabilidades
conocidas y
desconocidas
Protección de
aplicaciones Web
(SQLi & XSS)
Alertamiento de
accesos y eventos
sospechosos
OPS
INF
SEG
SEG
?
?
?
?
?
?
?
?
?

89. Aplicar actualizaciones y
parches de seguridad
Alertamiento de
cambios
no autorizados
en los servidores
Inventario de
aplicaiones
y sistemas vulnerables
Firewall
IPS
Anti-Malware
Proteger
vulnerabilidades
conocidas y
desconocidas
Protección de
aplicaciones Web
(SQLi & XSS)
Alertamiento de
accesos y eventos
sospechosos
?
?
?
?
?
?
?
?
?

101. Fuente: CVE Details cvedetail.com
252
246
894
1020
1667
2156
1526
2450
4934
6610
6520
5632
5736
4651
4155
5297
5191
7946
6412
2211
0
10000
20000
30000
40000
50000
60000
70000
80000
0
1000
2000
3000
4000
5000
6000
7000
8000
Acumuladodevulnerabilidades
Vulnerabilidadespúblicasporaño
Acumulado
Anual
# Vendor Vulns
1 Apple 654
2 Microsoft 571
3 Linux - Open Source 534
4 Cisco 488
5 Oracle 479
6 Adobe 460
7 Google 323
8 IBM 314
9 Mozilla 188
10 Canonical 153
2015 - Top 15 Vendors

103. Copyright 2016 Trend Micro Inc.106
Ransomware para servidores
Protección multicapas para
ataques de Ransomware
avanzado
Nuevos ataques como (ex:
SAMSAM) se focalizan en
servidores vulnerables o sin
actualizaciones al día para
secuestrar la información y exigir
un rescate a cambio.

104. Copyright 2016 Trend Micro Inc.107
Best Practices for Securing AWS
Workloads*
Understand Your Shared Responsibilities
Get Visibility of Cloud-based Workloads
Bake Security Into Workloads from
Development
Adopt a "No Patch" Strategy for Live
Environments
Use AWS Security Groups but Leverage a
Third-Party Firewall for
Advanced Functionality
Adopt a Workload-Centric Security Strategy* Source: Gartner research note – Best practices for securing workloads in Amazon Web Services, April 2015

105. Todo en una
única
herramienta a
nivel de host
Deep Security le permite

106. Blindar Aplicaciones y
Sistemas Operativos
con
Parches Virtuales
Alertamiento de
cambios
no autorizados
en los servidores
Inventario de
aplicaiones
y sistemas vulnerables
diariamente
Host Firewall
Host IPS
Anti-Malware
Proteger
vulnerabilidades
conocidas y
desconocidas
Protección de
aplicaciones Web
(SQLi & XSS)
Alertamiento de
accesos y eventos
sospechosos

108. Flexibilidad en el modelo de compra con
AWS
AWS Marketplace Software
En el ambiente
híbridoEn la factura de
AWS
Software as a
Service
Menos trabajo

110. aws.trendmicro.com

112. ¿ Qué vimos hoy?
1. Top 10 de mejores prácticas.
2. Usuario IAM vs. Usuario Federado.
3. Access keys vs. Contraseñas.
4. Políticas Inline vs. managed policies.
5. Grupos vs. managed policies.
6. Políticas basadas en recursos vs. Políticas basadas en Tags.
7. Una única cuenta AWS vs. varias cuentas AWS.
8. Como TrendMicro nos ayuda a extender funcionalidades de seguridad.
X
11

113. ¡Gracias!