Seguridad de la Información es un tema presente en cualquier discusión involucrando procesos de negocio y sus desafíos en la jornada hacia la nube no son la excepción. Para AWS, la Seguridad es prioridad número uno; por eso, ofrece una amplia variedad de funcionalidades y servicios para soportar los requerimientos de seguridad de su negocio. En esta presentación nos enfocaremos en cómo nuestros clientes pueden utilizar estas funcionalidades de seguridad de AWS para cumplir con los objetivos de seguridad y conformidad requeridos por su organización.”
Webinar: Mejores prácticas de Seguridad de la Información
1. Mauricio Muñoz – Arquitecto de Soluciones
Jornada hacia la Nube AWS
Mejores prácticas
de
Seguridad de la Información
2. Seguridad en la Nube AWS
Diseñada para ser uno de los ambientes de nube más flexibles y
seguros
Elimina muchos de los inconvenientes que aparecen al tratar de
seguridad de la infraestructura
Funcionalidades de Seguridad embebidas
https://aws.amazon.com/whitepapers/aws-security-best-practices/
3. Agenda
1. Introducción
2. Compartiendo la responsabilidad de la
seguridad
3. Funcionalidades de seguridad AWS
4. Recomendaciones
5. Verificación de nuestro nivel de
seguridad
6. Material adicional
9. Modelo de Seguridad Compartida
• Responsabilidad compartida
– Permita que AWS haga el trabajo pesado
– Enfóquese en lo más importante para su negocio
• Cliente
• Selección del Sistema Operacional
• Aplicaciones
• Security Groups
• ACLs
• Gestión de las cuentas AWS
• Identity management
• AWS
• Operación de las instalaciones
• Seguridad física
• Infraestructura física
• Infraestructura de red
• Infraestructura de
virtualización
• Gestión de hardware (ciclo de
vida)
Infraestructura Container Abstractos
10. Tales como Amazon EC2, Amazon EBS y Amazon VPC
Modelo de Seguridad Compartida: Servicios de Infraestructura
11. Tales como Amazon RDS y Amazon EMR
Modelo de Seguridad Compartida: Servicios “Container”
12. Tales como Amazon S3 y Amazon DynamoDB
Modelo de Seguridad Compartida: Servicios Abstractos
26. Conozca el modelo AWS de seguridad compartida
Construya sus sistemas en la Nube AWS y diséñelos usando un SGSI que aproveche las
funcionalidades de AWS
27. Entienda la infraestructura global (y segura) de AWS
Regiones, Zonas de disponibilidad y Puntos de presencia
Regiones
Conjunto independiente de recursos AWS en una geografía determinada.
Forman una base sólida para cumplir con requerimientos de privacidad y
conformidad de regiones específicas.
Zonas de Disponibilidad
Diseñadas como zonas de falla independientes
Físicamente separadas, dentro de una región metropolitana
28. Entienda la infraestructura global (y segura) de AWS
Usando el servicio IAM
http://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html
AWS Identity and Access Management (IAM) le permite implementar
control de acceso a los servicios y recursos AWS.
Usando IAM, usted puede crear y administrar usuarios y grupos AWS,
a la vez que utiliza permisos para permitir o negar access a los
recursos AWS, utilizando diferentes tipos de credenciales como llaves
privadas, contraseñas y dispositivos MFA (multi-factor
authentication).
Puede también configurar acceso federado (con SAML) con sus
directorios de usuario ya existentes, como OpenLDAP o
ActiveDirectory.
29. Defina y Clasifique sus activos en AWS
Identifique los activos de información que serán protegidos
30. Diseñe su SGSI para proteger sus activos en
AWS
Establezca un estándar para implementar, operar, monitorear, verificar,
mantener y mejorar su sistema de gestión de seguridad de la información
31. Administrar cuentas AWS, usuarios, grupos y roles IAM
Opere bajo el principio del menor privilegio
Cuenta AWS
Su cuenta AWS representa una relación de negocios entre usted y AWS. Las
cuentas AWS entregan permisos de superusuario a todos los recursos y
servicios AWS, es plenipotenciaria.
Usuarios IAM
Con IAM, puede crear múltiples usuarios, cada uno con credenciales individuales y
todos controlados bajo una única cuenta AWS.
Los usuarios IAM pueden ser una persona, un servicio o una aplicación que
requiere accesso a sus recursos AWS, sea a través de la consola, via CLI o
directamente via APIs.
32. Administrar cuentas AWS, usuarios, grupos y roles IAM
Estrategias para utilización de múltiples cuentas AWS
Business Requirement Proposed Design Comments
Centralised security management Single AWS Account Centralize information security management and minimize overhead.
Separation of production, development & testing accounts Three AWS Accounts Create one AWS account for production services, one for development and one for testing
Multiple autonomous departments Multiple AWS Accounts Create separate AWS accounts for each autonomous part of the organization. You can assign permissions and policies
under each account
Centralized security management with multiple
autonomous independent projects
Multiple AWS Accounts Create a single AWS account for common project resources (such as DNS services, Active Directory, CMS etc.). Then
create separate AWS accounts per project. You can assign permissions and policies under each project account and
grant access to resources across accounts.
https://d0.awsstatic.com/aws-answers/AWS_Multi_Account_Security_Strategy.pdf
33. Administrar cuentas AWS, usuarios, grupos y roles IAM
Delegación usando roles IAM y credenciales temporales (STS)
Aplicaciones en instancias Amazon EC2 que necesitan acceso a recursos AWS
Acceso Cross-Account
Federación de Identidades
Secure Token Service (STS)
http://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html
34. Gestione el acceso a las instancias Amazon EC2,
a nivel de S.O.
Usted es el dueño de las credenciales, AWS ayuda en la automatización del
acceso inicial
Amazon EC2 Key Pairs
Usadas para autenticar el acceso SSH a instancias Linux y para generar la
contraseña de administrador en instancias Windows.
Para requerimientos más estrictos de seguridad, usted tiene la libertad de
implementar mecanismos de autenticación alternativos y desabilitar la
autenticación por llaves Amazon EC2.
35. Autorización de acceso a nivel de recurso
Usuarios o Roles IAM solamente pueden acceder a los recursos después de ser
autenticados
Políticas altamente granulares son usadas para restringir o permitir que los
usuarios accedan únicamente los recursos que usted especifique.
{
"Effect": "Allow”,
"Action": ["s3:GetObject”,"s3:PutObject”],
"Resource": ["arn:aws:s3:::myBucket/amazon/snakegame/${cognito-identity.amazonaws.com:sub}"]
}
Proteja sus datos
En reposo & en tránsito
36. Almacenamiento y gestión de llaves de
encripción
Recomendamos que sus llaves sean almacenadas en un dispositivo tamper-
proof, como HSMs. AWS Cloud HSM es una de las opciones disponibles para
esto y la mejor opción si lo que necesita es una validación de un tercero de que
AWS no tiene acceso a sus llaves; para una solución de más fácil integración,
puede utilizar AWS KMS.
Alternativamente, puede almacenar sus llaves localmente (en su datacenter,
usando su propio HSM) y accederlas via enlaces seguros como AWS Direct
Connect con IPsec, o VPNs IPsec via Internet.
aws.amazon.com/cloudhsm/
aws.amazon.com/kms/
Proteja sus datos
En reposo & en tránsito
37. Protección de datos en reposo
Diferentes opciones, dependiendo del servicio AWS
Amazon S3 – Server-Side-Encryption con llaves de Amazon S3, sus propias
llaves de encripción con Customer-Provided Keys (SSE-C) o usando llaves de
KMS
Amazon EBS – use encripción de volúmenes usando herramientas del sistema
operacional o via KMS. Por ejemplo, Windows EFS o Microsoft Windows
Bitlocker, Linux dm-crypt, CloudHSM o on-premise HSM con SafeNet ProtectV
Amazon RDS – use funciones específicas de criptografía de su base de datos o
KMS
EMR/DynamoDB – varias opciones, incluyendo algunas de partners
Amazon Redshift – Puede user KMS o un HSM para gerenciar las llaves de alto
nivel en la jerarquía de encripción
Información adicional en el Whitepaper: Security Best Practices
Proteja sus datos
En reposo & en tránsito
38. Asegure sus sistemas operativos y aplicaciones
Por el modelo de seguridad compartida, usted gestiona la seguridad de los sistemas
operativos y aplicaciones
OS Hardening y Actualizaciones
Utilizar Amazon Machine Images (AMIs) facilita la implementación de sistemas
operativos estandarizados y el despliegue de nuevas versiones de aplicaciones
Amazon provee y mantiene un conjunto preconfigurado de AMIs, aunque usted
tiene la libertad de crear sus propias AMIs y usarlas como base para las
instancias EC2 que va a utilizar
Los mismos principios de hardening (CIS Benchmarks, DISA STIGs, etc) pueden
y deben ser aplicados a los sistemas operativos de sus instancias EC2
Mayores informaciones en AWS Security Best Practices Whitepaper
39. Aplique seguridad a su infraestructura
Utilizando las funcionalidades de la plataforma AWS
Amazon Virtual Private Cloud (VPC)
Cree su nube privada con separación de Capa 2, dentro de la nube AWS
Use su propio direccionamiento IP, definido por usted mismo. Use direcciones
privadas (RFC1918) para redes que no sean enrutables a Internet
Utilice las diferentes formas de conectar su VPC, sea via Internet, túneles IPsec
via Internet, AWS Direct Connect, AWS Direct Connect con IPsec, VPC Peering
o una combinación de ellos.
Defina su propia topología de red, tablas de enrutamiento y cree sus propias
instancias de servicios de soporte como servidores DNS o NTP
40. Zonas de seguridad y Segmentación de red
Use la segmentación de red como una forma simple de aislar una subred de otra
Zonas de seguridad son grupos de componentes de un sistema, con
requerimientos similares de seguridad y con controles comunes entre ellos
Combine las funcionalidades de seguridad de la plataforma AWS con sus propios
componentes de seguridad como repositorios de usuarios, DNS & para crear sus
zonas de seguridad
La elasticidad de la infraestructura AWS junto con herramientas de despliegue
automatizado, facilitan la estandarización de los controles de seguridad de forma
global
”Deploy”repetible y uniforme aumenta su nivel general de seguridad
Aplique seguridad a su infraestructura
Utilizando las funcionalidades de la plataforma AWS
41. Monitoreo, Alertas, Auditoría & Respuesta a Incidentes
Adapte sus procesos existentes, herramientas y metodologías para ser usadas en la nube
Implemente monitoreo de S.O. y de alto nivel
Los logs pueden ser generados por una variedad de componentes de su
infraestructura como dispositivos de red, S.O., plataformas y aplicaciones
Nosotros recomendamos registrar y analizar eventos como:
• Actividades de usuarios con privilegios administrativos
• Acceso a los registros de auditoría
• Intentos fallidos de acceso lógico
• Uso de mecanismos de identificación y autenticación
• Creación, borrado y modificación de objetos del sistema
Area Consideration
Log collection Note how log files are collected. Often operating system, application, or third-
party/middleware agents collect log file information
Log transport When log files are centralized, transfer them to the central location in a secure, reliable, and
timely fashion
Log storage Centralize log files from multiple instances to facilitate retention policies, as well as analysis
and correlation
Log taxonomy Present different categories of log files in a format suitable for analysis
Log
analysis/correlati
on
Log files provide security intelligence after you analyze them and correlate events in them.
You can analyze logs in real time, or at scheduled intervals.
Log
protection/securi
ty
Log files are sensitive. Protect them through network control, identity and access
management, protection/ encryption, data integrity authentication, and tamper-proof time-
stamping
42. Area Consideration
Log collection Note how log files are collected. Often operating system, application, or third-
party/middleware agents collect log file information
Log transport When log files are centralized, transfer them to the central location in a secure, reliable, and
timely fashion
Log storage Centralize log files from multiple instances to facilitate retention policies, as well as analysis
and correlation
Log taxonomy Present different categories of log files in a format suitable for analysis
Log
analysis/correlati
on
Log files provide security intelligence after you analyze them and correlate events in them.
You can analyze logs in real time, or at scheduled intervals.
Log
protection/securi
ty
Log files are sensitive. Protect them through network control, identity and access
management, protection/ encryption, data integrity authentication, and tamper-proof time-
stamping
Use CloudWatch Logs para centralizar sus logs
CloudWatch Logs le permite monitorear y resolver problemas de sus sistemas y
aplicaciones utilizando los archivos de auditoría (logs) generados por ellos.
Envíe sus archivos de log (sistema, aplicación o personalizados), utilizando nuetro
CloudWatch Logs agent, realizando el monitoreo en casi tiempo real.
Con esto, usted puede entender y operar mejor sus sistemas y aplicaciones, a la vez
que almacena sus logs en almacenamiento altamente durable y de muy bajo costo,
para acceso posterior.
Monitoreo, Alertas, Auditoría & Respuesta a Incidentes
Adapte sus procesos existentes, herramientas y metodologías para ser usadas en la nube
43. Use CloudTrail para registrar las llamadas a las
API AWS
AWS CloudTrail es un servicio que registra las llamadas a APIs AWS de su cuenta y
se las entrega en un archivo de log.
La información registrada incluye la identidad del solicitante, la hora de la llamada,
dirección IP origen, parámetros de la solicitud y los elementos retornados.
Con CloudTrail, usted obtiene un historial de las llamadas API a su cuenta, lo que le
permite realizar análisis de seguridad, control de cambios y auditorías.
Monitoreo, Alertas, Auditoría & Respuesta a Incidentes
Adapte sus procesos existentes, herramientas y metodologías para ser usadas en la nube
44. Use AWS Config para registrar cambios en el
ambiente AWS
AWS Config es un servicio que registra las configuraciones del ambiente AWS,
cambios y relaciones entre los recursos, entregando la información en archivos de
log.
La información registrada incluye configuración y metadatos de VPCs, RDS, EC2,
IAM, entre otros, así como las relaciones entre ellos y hora de los cambios.
Mientras un snapshot responde a la cuestión de cómo se ve un ambiente en um
momento determinado, el histórico corresponde a saber cuál ha sido la evolución de
un elemento a lo largo del tiempo.
Continuous ChangeRecordingChanging
Resources
History
Stream
Snapshot (ex. 2014-11-05)
AWS Config
Monitoreo, Alertas, Auditoría & Respuesta a Incidentes
Adapte sus procesos existentes, herramientas y metodologías para ser usadas en la nube
https://docs.aws.amazon.com/config/latest/developerguide/resource-config-
reference.html
46. AWS es Level 1 compliant bajo el estándar Payment Card Industry
(PCI) Data Security Standard (DSS). Los clientes pueden ejecutar
aplicaciones en nuestra infraestructura tecnológica PCI-compliant
para almacenar, procesar y transmitir información de tarjetas de
crédito en la nube.
AWS está certificada ISO 27001. International Organization for
Standardization (ISO) 27001 es un estándar global de seguridad
ampliamente utilizado, que define los requerimientos para el
establecimiento y operación de un Sistema de Gestión de Seguridad
de la Información (SGSI)
Muchos otros estándares y certificaciones han sido alcanzados por
AWS. Mayor información en:
aws.amazon.com/compliance
Conformidad en AWS
51. Introduction to AWS Security
Security at Scale: Governance in AWS
Security at Scale: Logging in AWS
AWS Security Best Practices
Securing Data at Rest with Encryption
AWS Security Whitepaper
AWS Security White Papers
55. Agenda
1. Introducción
2. Compartiendo la responsabilidad de la
seguridad
3. Funcionalidades de seguridad AWS
4. Recomendaciones
5. Verificación de nuestro nivel de
seguridad
6. Material adicional
56. Mauricio Muñoz – Arquitecto de Soluciones
Jornada hacia la Nube AWS
Mejores prácticas
de
Seguridad de la Información
aws.amazon.com/es/about-aws/events/monthlywebinarseries
aws.amazon.com/es/about-aws/events/monthlywebinarseries/contact-us