Embed Size (px)
Citation preview
Bogotá
Seguridad en la nube AWS
Henry Alvarado
Arquitecto de soluciones
Amazon Web Services
La seguridad es el paso cero
La seguridad es el paso cero
Network
SecurityPhysical
Security
Platform
SecurityPeople &
Procedures
La seguridad es compartida
Todo se construye bajo una base de mejora constante en
seguridad
AWS Foundation Services
Compute Storage Database Networking
AWS Global Infrastructure Regions
Availability Zones
Edge Locations
AWS es
responsable por
la seguridad DE
La nube
GxP
ISO 13485
AS9100
ISO/TS 16949
AWS Foundation Services
Compute Storage Database Networking
AWS Global Infrastructure Regions
Availability Zones
Edge Locations
Client-side Data Encryption
Server-side Data Encryption
Network Traffic Protection
Platform, Applications, Identity & Access Management
Operating System, Network, & Firewall Configuration
Customer applications & contentC
ust
om
ers
La seguridad y conformidad es una responsabilidad compartida
Los clientes
tienen la
elección de las
configuraciones
de seguridad EN
la nube
AWS es
responsable por
la seguridad DE
La nube
La seguridad es familiar
La seguridad es familiar• Nos esforzamos por mantener la seguridad en
AWS tan familiar para usted como lo es hoy en
día– Visibilidad
– Auditable
– Bajo control
– Agilidad
Visibilidad
Visibilidad
Qué tan frecuentemente usted realiza un mapeo de su red?
Cómo es su ambiente
En este momento?
La seguridad es Visible• Quién está accediendo los recursos?
• Quién realizó alguna acción?– Cuando?
– Desde donde?
– Qué hizo?
– Logs Logs Logs
Usted realiza
llamadas a la
API…
En un creciente
conjunto de
servicios a nivel
mundial
AWS CloudTrail está
continuamente
grabando las
llamadas a la API..
Y entregándole
a usted
archivos de log
AWS CLOUDTRAIL
RedshiftAWS CloudFormation
AWS Elastic Beanstalk
Casos de uso habilitados por CloudTrail
• Análisis de seguridad Use archivos de log como datos de entrada para soluciones de administración y análisis
de logs para realizar análisis de seguridad y detección de patrones de usuario
• Siga los cambios sobre recursos AWS Realice seguimiento a la creación, modificación y eliminación de recursos AWS como
instancias EC2, grupos de seguridad de Amazon VPC, volúmenes EBS, entre otros…
• Solución de problemas operacionales Identifique cuales fueron las últimas acciones realizadas sobre recursos en su cuenta
AWS
• Ayudas en conformidad Facilidad para demostrar conformidad con políticas internas y estándares regulatorios
CloudTrail Regional Availability
Auditable
AWS Config
AWS Config es un servicio completamente
administrado que le permite tener un
inventario de sus recursos AWS, permitiendo
auditar la historia de configuraciones
realizadas y notificarle cuando algún cambio
es realizado.
Continuous ChangeRecordingChanging
Resources
AWS Config
History
Stream
Snapshot (ex. 2014-11-05)
AWS Config
Casos de uso que AWS Config permite
• Análisis de seguridad: Estoy seguro?
• Auditoría de conformidad: Donde está la
evidencia?
• Control de cambios: Cual es el efecto de un
cambio?
• Solución de problemas: Qué ha cambiado?
Mi ambiente está seguro?
• Recursos correctamente configurados son críticos para la seguridad
• Config permite que usted monitoree las configuraciones de sus recursos y evalúe de inmediato si éstas configuraciones son potenciales debilidades de seguridad
Donde está la evidencia?
• Muchas auditorías de conformidad
requieren acceso al estado de sus
sistemas en un momento
determinado (ej. PCI, HIPAA)
• Un inventario completo de todos
los recursos y sus respectiva
configuraciones en cualquier
momento en el tiempo
Cual es el efecto de este cambio?
• Cuando sus recursos son
creados, modificados o
eliminados, estos cambios de
configuración son transmitidos a
Amazon SNS
• Las relaciones entre recursos
son claras, lo que permite
proactivamente evaluar el
impacto de un cambio.
Qué cambió?
• Es crítico poder ser capaces de
responder rápidamente “Qué
cambió?”
• Usted puede rápidamente
identificar un cambio reciente en
sus recursos usando la consola o
construyendo integraciones
personalizadas con los archivos
de historia que son regularmente
exportados
Control
Seguridad de primera clase y comienzo de
conformidades (pero no final!) con cifrado
Cifrado automático con llaves administradas
Traiga sus propias llaves
Módulos de seguridad en hardware dedicado
Mejores prácticas y cifrado con AWS
Llaves de cifrado administradas
Almacenamiento de llaves con AWS CloudHSM
Llaves de cifrado proveídas por el cliente
Crear, almacenar y obtener llaves de forma segura
Rotación de llaves regularmente
Auditoria del acceso a las llaves de forma segura
AWS Key Management Service
• Es un servicio administrado que le permite fácilmente crear, controlar y usar sus llaves de cifrado
• Integrado con los SDKs y servicios de AWS, incluyendo Amazon EBS, Amazon S3 y Amazon Redshift
• Integrado con AWS CloudTrail para proveer logsauditables y ayudar con las actividades de regulación y conformidad.
AWS Key Management ServiceIntegrado con la consola AWS IAM
AWS Key Management ServiceIntegrado con Amazon EBS
AWS Key Management ServiceIntegrado con Amazon S3
AWS Key Management ServiceIntegrado con Amazon Redshift
Agilidad
Cómo AWS practica la seguridad?
La práctica de seguridad en AWS es
diferente, pero el resultado es familiar:
Entonces, cómo está compuesto su equipo
de seguridad?
• Operaciones
• Ingeniería
• Seguridad de Aplicaciones
• Conformidad
Nuestra cultura:
Todos somos dueños
Cuando el problema es “mío” en vez de
“suyo”, hay más chances de que yo haga lo
correcto
Mida constantemente, reporte
regularmente y mantenga los ejecutivos
responsables por la seguridad – hace
que ellos dirijan la cultura correcta
Nuestra cultura:
Nuestra cultura:
Mida, mida y mida
• Métricas cada 5 min es baja precisión
• Métricas cada 1 min son escasamente OK
Nuestra cultura:
Decir “no” es una falla
Nuestra cultura:
Ponga más esfuerzo en el “por qué” en vez que
en el “como”
Por qué esto realmente importa?
Cuando algo salga mal, pregunte “cinco veces, por
qué?”
Nuestra cultura:
Descentralice – no sea un cuello de botella
Es la naturaleza humana rodear cuellos de
botella
Nuestra cultura:
Cree servicios que otros puedan consumir a
través de APIs robustas
Nuestra cultura:
Pruebe, Constantemente
• Dentro/Fuera
• Privilegiado/No privilegiado
• Black-box/white-box
• Proveedor/construido en casa
Nuestra cultura:
El monitoreo proactivo arregla su día
• Qué es “normal” en su ambiente?
• Saber CUANDO pasó algo malo
Nuestra cultura:
Colecte, digiera, desmenuce y use inteligencia
Nuestra cultura:
Haga su equipo de conformidad parte de las
operaciones de seguridad
Nuestra cultura:
Base sus decisiones en hechos, métricas y
entendimiento detallado de su ambiente y sus
adversarios
Controles de seguridad simples
Fácil hacerlo bien
Fácil de auditar
Fácil de hacer cumplir
De Esto
A esto
Reducción continua de áreas
expuestas
Reducción continua del acceso
potencial humano
Cifrado ubicuo
Separación aún más granular
Seguridad es el trabajo cero
Usted va a estar mejor protegido en AWS de lo que
usted está en su propio ambiente
– “Based on our experience, I believe that we can be even more
secure in the AWS cloud than in our own data centers.”
-Tom Soderstrom, CTO, NASA JPL
– Nearly 60% of organizations agreed that CSPs [cloud service
providers] provide better security than their own IT organizations.
Source: IDC 2013 U.S. Cloud Security Survey,
doc #242836, September 2013
Security that fitsAWS Summit Bogotá
Juan Nieves
Sales Engineer
La seguridad es una
Responsabilidad Compartida
La nube AWS
Foundation Services
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability Zones
Edge Locations
Client-side Data Encryption & Data
Integrity Authentication
Server-side Encryption
(File System and/or Data)Network Traffic Protection
(Encryption/Integrity/Identity)
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer DataA
ma
zo
nC
lien
te
• SOC I, II, III
• ISO 27001/ 2 Certification
• Payment Card Industry (PCI)
• Data Security Standard (DSS)
• FISMA Compliant Controls
• DIACAP Compliant Controls
• FedRAMP Compliant Controls
• ITAR Compliant
• HIPAA applications
• FIPS
• CSA
• MPAA
aws.amazon.com/compliance
Foundation Services
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability Zones
Edge Locations
Client-side Data Encryption & Data
Integrity Authentication
Server-side Encryption
(File System and/or Data)Network Traffic Protection
(Encryption/Integrity/Identity)
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer DataA
ma
zo
nC
lien
te
• SOC I, II, III
• ISO 27001/ 2 Certification
• Payment Card Industry (PCI)
• Data Security Standard (DSS)
• FISMA Compliant Controls
• DIACAP Compliant Controls
• FedRAMP Compliant Controls
• ITAR Compliant
• HIPAA applications
• FIPS
• CSA
• MPAA
Los Clientes Implementan
su propio conjunto de
Controles
aws.amazon.com/compliance
Caso de Éxito
DesafiosPCI e Compliance
Proteger las
vulnerabilidades(IDS/IPS)
Gestión Simplificada y Centralizada de
Controles de Seguridad
Integración con el ambiente en la
nube de AWS
Muchas
Gracias!
