Mauricio Muñoz – Arquitecto de Soluciones

Jornada hacia la Nube AWS

Mejores prácticas

de

Seguridad de la Información

Seguridad en la Nube AWS

Diseñada para ser uno de los ambientes de nube más flexibles y

seguros

Elimina muchos de los inconvenientes que aparecen al tratar de

seguridad de la infraestructura

Funcionalidades de Seguridad embebidas

https://aws.amazon.com/whitepapers/aws-security-best-practices/

Agenda

1. Introducción

2. Compartiendo la responsabilidad de la

seguridad

3. Funcionalidades de seguridad AWS

4. Recomendaciones

5. Verificación de nuestro nivel de

seguridad

6. Material adicional

1. INTRODUCCIÓN

Enfoque de

seguridad de

AWS

Tamaño del

equipo de

seguridad

Visibilidad de los

recursos y utilización

Aumentando su postura de seguridad en la Nube

Acreditaciones & Certificaciones

(amplia cobertura)

Ecosistema de

Partners

Ecosistema de

clientes

Todos se ven

beneficiados

Beneficios por el efecto de “Comunidad”

2. COMPARTIENDO LA

RESPONSABILIDAD DE LA

SEGURIDAD

Modelo de Seguridad Compartida

• Responsabilidad compartida

– Permita que AWS haga el trabajo pesado

– Enfóquese en lo más importante para su negocio

• Cliente• Selección del Sistema Operacional

• Aplicaciones

• Security Groups

• ACLs

• Gestión de las cuentas AWS

• Identity management

• AWS• Operación de las instalaciones

• Seguridad física

• Infraestructura física

• Infraestructura de red

• Infraestructura de virtualización

• Gestión de hardware (ciclo de vida)

Infraestructura Container Abstractos

Tales como Amazon EC2, Amazon EBS y Amazon VPC

Modelo de Seguridad Compartida: Servicios de Infraestructura

Tales como Amazon RDS y Amazon EMR

Modelo de Seguridad Compartida: Servicios “Container”

Tales como Amazon S3 y Amazon DynamoDB

Modelo de Seguridad Compartida: Servicios Abstractos

3. FUNCIONALIDADES DE SEGURIDAD

ACCESO SEGUROTLS PARA LOS ACCESOS A API ENDPOINTS

https://github.com/awslabs/s2n

FIREWALLS EMBEBIDOSUSTED CONTROLA EL ACCESO A SUS INSTANCIAS

RBAC (Role Based Access

Control)CON PERMISOS GRANULARES

AUTENTICACIÓN FUERTE

(MFA)EMBEBIDA

SUBREDES PRIVADASDENTRO DE SU RED PRIVADA VIRTUAL (AWS VPC)

ENCRIPCIÓN DE SUS

DATOS EN REPOSOUSANDO LLAVES AES-256bits

CLOUD HSMFORMA ALTAMENTE SEGURA DE ALMACENAR LLAVES

CONEXIÓN DEDICADAOPCIÓN OFRECIDA POR AWS DIRECT CONNECT

AUDITORÍA - LOGSAWS CLOUDTRAIL, AWS CONFIG &

AMAZON CLOUDWATCH LOGS

TRUSTED ADVISORSU EXPERTO PERSONAL EN ASUNTOS DE NUBE

4. RECOMENDACIONES

Conozca el modelo AWS de seguridad compartidaConstruya sus sistemas en la Nube AWS y diséñelos usando un SGSI que aproveche las

funcionalidades de AWS

Entienda la infraestructura global (y segura) de AWSRegiones, Zonas de disponibilidad y Puntos de presencia

RegionesConjunto independiente de recursos AWS en una geografía determinada.

Forman una base sólida para cumplir con requerimientos de privacidad y

conformidad de regiones específicas.

Zonas de DisponibilidadDiseñadas como zonas de falla independientes

Físicamente separadas, dentro de una región metropolitana

Entienda la infraestructura global (y segura) de AWSUsando el servicio IAM

http://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html

AWS Identity and Access Management (IAM) le permite implementar

control de acceso a los servicios y recursos AWS.

Usando IAM, usted puede crear y administrar usuarios y grupos AWS,

a la vez que utiliza permisos para permitir o negar access a los

recursos AWS, utilizando diferentes tipos de credenciales como llaves

privadas, \contraseñas y dispositivos MFA (multi-factor

authentication).

Puede también configurar acceso federado (con SAML) con sus

directorios de usuario ya existentes, como OpenLDAP o

ActiveDirectory.

Defina y Clasifique sus activos en AWSIdentifique los activos de información que serán protegidos

Diseñe su SGSI para proteger sus activos en

AWSEstablezca un estándar para implementar, operar, monitorear, verificar,

mantener y mejorar su sistema de gestión de seguridad de la información

Administrar cuentas AWS, usuarios, grupos y roles IAMOpere bajo el principio del menor privilegio

Cuenta AWSSu cuenta AWS representa una relación de negocios entre usted y AWS. Las

cuentas AWS entregan permisos de superusuario a todos los recursos y

servicios AWS, es plenipotenciaria.

Usuarios IAMCon IAM, puede crear múltiples usuarios, cada uno con credenciales individuales y

todos controlados bajo una única cuenta AWS.

Los usuarios IAM pueden ser una persona, un servicio o una aplicación que

requiere accesso a sus recursos AWS, sea a través de la consola, via CLI o

directamente via APIs.

Administrar cuentas AWS, usuarios, grupos y roles IAMEstrategias para utilización de múltiples cuentas AWS

Business Requirement Proposed Design Comments

Centralised security management Single AWS Account Centralize information security management and minimize overhead.

Separation of production, development & testing accounts Three AWS Accounts Create one AWS account for production services, one for development and one for testing

Multiple autonomous departments Multiple AWS Accounts Create separate AWS accounts for each autonomous part of the organization. You can assign permissions and policies

under each account

Centralized security management with multiple

autonomous independent projects

Multiple AWS Accounts Create a single AWS account for common project resources (such as DNS services, Active Directory, CMS etc.). Then

create separate AWS accounts per project. You can assign permissions and policies under each project account and

grant access to resources across accounts.

https://d0.awsstatic.com/aws-answers/AWS_Multi_Account_Security_Strategy.pdf

Administrar cuentas AWS, usuarios, grupos y roles IAMDelegación usando roles IAM y credenciales temporales (STS)

Aplicaciones en instancias Amazon EC2 que necesitan acceso a recursos AWS

Acceso Cross-Account

Federación de Identidades

Secure Token Service (STS)

http://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

Gestione el acceso a las instancias Amazon EC2,

a nivel de S.O. Usted es el dueño de las credenciales, AWS ayuda en la automatización del

acceso inicial

Amazon EC2 Key PairsUsadas para autenticar el acceso SSH a instancias Linux y para generar la

contraseña de administrador en instancias Windows.

Para requerimientos más estrictos de seguridad, usted tiene la libertad de

implementar mecanismos de autenticación alternativos y desabilitar la

autenticación por llaves Amazon EC2.

Autorización de acceso a nivel de recursoUsuarios o Roles IAM solamente pueden acceder a los recursos después de ser

autenticados

Políticas altamente granulares son usadas para restringir o permitir que los

usuarios accedan únicamente los recursos que usted especifique.

{

"Effect": "Allow”,

"Action": ["s3:GetObject”,"s3:PutObject”],

"Resource": ["arn:aws:s3:::myBucket/amazon/snakegame/${cognito-identity.amazonaws.com:sub}"]

}

Proteja sus datosEn reposo & en tránsito

Almacenamiento y gestión de llaves de

encripciónRecomendamos que sus llaves sean almacenadas en un dispositivo tamper-

proof, como HSMs. AWS Cloud HSM es una de las opciones disponibles para

esto y la mejor opción si lo que necesita es una validación de un tercero de que

AWS no tiene acceso a sus llaves; para una solución de más fácil integración,

puede utilizar AWS KMS.

Alternativamente, puede almacenar sus llaves localmente (en su datacenter,

usando su propio HSM) y accederlas via enlaces seguros como AWS Direct

Connect con IPsec, o VPNs IPsec via Internet.

aws.amazon.com/cloudhsm/

aws.amazon.com/kms/

Proteja sus datosEn reposo & en tránsito

Protección de datos en reposoDiferentes opciones, dependiendo del servicio AWS

Amazon S3 – Server-Side-Encryption con llaves de Amazon S3, sus propias

llaves de encripción con Customer-Provided Keys (SSE-C) o usando llaves de

KMS

Amazon EBS – use encripción de volúmenes usando herramientas del sistema

operacional o via KMS. Por ejemplo, Windows EFS o Microsoft Windows

Bitlocker, Linux dm-crypt, CloudHSM o on-premise HSM con SafeNet ProtectV

Amazon RDS – use funciones específicas de criptografía de su base de datos o

KMS

EMR/DynamoDB – varias opciones, incluyendo algunas de partners

Amazon Redshift – Puede user KMS o un HSM para gerenciar las llaves de alto

nivel en la jerarquía de encripción

Información adicional en el Whitepaper: Security Best Practices

Proteja sus datosEn reposo & en tránsito

Asegure sus sistemas operativos y aplicacionesPor el modelo de seguridad compartida, usted gestiona la seguridad de los sistemas

operativos y aplicaciones

OS Hardening y ActualizacionesUtilizar Amazon Machine Images (AMIs) facilita la implementación de sistemas

operativos estandarizados y el despliegue de nuevas versiones de aplicaciones

Amazon provee y mantiene un conjunto preconfigurado de AMIs, aunque usted

tiene la libertad de crear sus propias AMIs y usarlas como base para las

instancias EC2 que va a utilizar

Los mismos principios de hardening (CIS Benchmarks, DISA STIGs, etc) pueden

y deben ser aplicados a los sistemas operativos de sus instancias EC2

Mayores informaciones en AWS Security Best Practices Whitepaper

Aplique seguridad a su infraestructuraUtilizando las funcionalidades de la plataforma AWS

Amazon Virtual Private Cloud (VPC)Cree su nube privada con separación de Capa 2, dentro de la nube AWS

Use su propio direccionamiento IP, definido por usted mismo. Use direcciones

privadas (RFC1918) para redes que no sean enrutables a Internet

Utilice las diferentes formas de conectar su VPC, sea via Internet, túneles IPsec

via Internet, AWS Direct Connect, AWS Direct Connect con IPsec, VPC Peering

o una combinación de ellos.

Defina su propia topología de red, tablas de enrutamiento y cree sus propias

instancias de servicios de soporte como servidores DNS o NTP

Zonas de seguridad y Segmentación de red Use la segmentación de red como una forma simple de aislar una subred de otra

Zonas de seguridad son grupos de componentes de un sistema, con

requerimientos similares de seguridad y con controles comunes entre ellos

Combine las funcionalidades de seguridad de la plataforma AWS con sus propios

componentes de seguridad como repositorios de usuarios, DNS & para crear sus

zonas de seguridad

La elasticidad de la infraestructura AWS junto con herramientas de despliegue

automatizado, facilitan la estandarización de los controles de seguridad de forma

global

”Deploy”repetible y uniforme aumenta su nivel general de seguridad

Aplique seguridad a su infraestructuraUtilizando las funcionalidades de la plataforma AWS

Monitoreo, Alertas, Auditoría & Respuesta a IncidentesAdapte sus procesos existentes, herramientas y metodologías para ser usadas en la nube

Implemente monitoreo de S.O. y de alto nivelLos logs pueden ser generados por una variedad de componentes de su

infraestructura como dispositivos de red, S.O., plataformas y aplicaciones

Nosotros recomendamos registrar y analizar eventos como:

• Actividades de usuarios con privilegios administrativos

• Acceso a los registros de auditoría

• Intentos fallidos de acceso lógico

• Uso de mecanismos de identificación y autenticación

• Creación, borrado y modificación de objetos del sistema

Area Consideration

Log collection Note how log files are collected. Often operating system, application, or third-

party/middleware agents collect log file information

Log transport When log files are centralized, transfer them to the central location in a secure, reliable, and

timely fashion

Log storage Centralize log files from multiple instances to facilitate retention policies, as well as analysis

and correlation

Log taxonomy Present different categories of log files in a format suitable for analysis

Log

analysis/correlati

on

Log files provide security intelligence after you analyze them and correlate events in them.

You can analyze logs in real time, or at scheduled intervals.

Log

protection/securi

ty

Log files are sensitive. Protect them through network control, identity and access

management, protection/ encryption, data integrity authentication, and tamper-proof time-

stamping

Area Consideration

Log collection Note how log files are collected. Often operating system, application, or third-

party/middleware agents collect log file information

Log transport When log files are centralized, transfer them to the central location in a secure, reliable, and

timely fashion

Log storage Centralize log files from multiple instances to facilitate retention policies, as well as analysis

and correlation

Log taxonomy Present different categories of log files in a format suitable for analysis

Log

analysis/correlati

on

Log files provide security intelligence after you analyze them and correlate events in them.

You can analyze logs in real time, or at scheduled intervals.

Log

protection/securi

ty

Log files are sensitive. Protect them through network control, identity and access

management, protection/ encryption, data integrity authentication, and tamper-proof time-

stamping

Use CloudWatch Logs para centralizar sus logsCloudWatch Logs le permite monitorear y resolver problemas de sus sistemas y

aplicaciones utilizando los archivos de auditoría (logs) generados por ellos.

Envíe sus archivos de log (sistema, aplicación o personalizados), utilizando nuetro

CloudWatch Logs agent, realizando el monitoreo en casi tiempo real.

Con esto, usted puede entender y operar mejor sus sistemas y aplicaciones, a la vez

que almacena sus logs en almacenamiento altamente durable y de muy bajo costo,

para acceso posterior.

Monitoreo, Alertas, Auditoría & Respuesta a IncidentesAdapte sus procesos existentes, herramientas y metodologías para ser usadas en la nube

Use CloudTrail para registrar las llamadas a las

API AWSAWS CloudTrail es un servicio que registra las llamadas a APIs AWS de su cuenta y

se las entrega en un archivo de log.

La información registrada incluye la identidad del solicitante, la hora de la llamada,

dirección IP origen, parámetros de la solicitud y los elementos retornados.

Con CloudTrail, usted obtiene un historial de las llamadas API a su cuenta, lo que le

permite realizar análisis de seguridad, control de cambios y auditorías.

Monitoreo, Alertas, Auditoría & Respuesta a IncidentesAdapte sus procesos existentes, herramientas y metodologías para ser usadas en la nube

Use AWS Config para registrar cambios en el

ambiente AWSAWS Config es un servicio que registra las configuraciones del ambiente AWS,

cambios y relaciones entre los recursos, entregando la información en archivos de

log.

La información registrada incluye configuración y metadatos de VPCs, RDS, EC2,

IAM, entre otros, así como las relaciones entre ellos y hora de los cambios.

Mientras un snapshot responde a la cuestión de cómo se ve un ambiente en um

momento determinado, el histórico corresponde a saber cuál ha sido la evolución de

un elemento a lo largo del tiempo.

Continuous ChangeRecordingChanging

ResourcesHistory

Stream

Snapshot (ex. 2014-11-05)

AWS Config

Monitoreo, Alertas, Auditoría & Respuesta a IncidentesAdapte sus procesos existentes, herramientas y metodologías para ser usadas en la nube

https://docs.aws.amazon.com/config/latest/developerguide/resource-config-

reference.html

5. VERIFICACIÓN DE NUESTRO NIVEL

DE SEGURIDAD

AWS es Level 1 compliant bajo el estándar Payment Card Industry

(PCI) Data Security Standard (DSS). Los clientes pueden ejecutar

aplicaciones en nuestra infraestructura tecnológica PCI-compliant

para almacenar, procesar y transmitir información de tarjetas de

crédito en la nube.

AWS está certificada ISO 27001. International Organization for

Standardization (ISO) 27001 es un estándar global de seguridad

ampliamente utilizado, que define los requerimientos para el

establecimiento y operación de un Sistema de Gestión de Seguridad

de la Información (SGSI)

Muchos otros estándares y certificaciones han sido alcanzados por

AWS. Mayor información en:aws.amazon.com/compliance

Conformidad en AWS

6. MATERIAL ADICIONAL

aws.amazon.com/security

Documentación

Técnica

AWS

blogs.aws.amazon.com/security

Introduction to AWS Security

Security at Scale: Governance in AWS

Security at Scale: Logging in AWS

AWS Security Best Practices

Securing Data at Rest with Encryption

AWS Security Whitepaper

AWS Security White Papers

aws.amazon.com/iamaws.amazon.com/vpcaws.amazon.com/kmsaws.amazon.com/configaws.amazon.com/cloudtrailaws.amazon.com/cloudhsmaws.amazon.com/cloudwatchaws.amazon.com/trustedadvisoraws.amazon.com/inspectoraws.amazon.com/waf

aws.amazon.com/architecture/

Certificación

aws.amazon.com/certification

Laboratorios On-

Line

aws.amazon.com/training/

self-paced-labs

Pruebe los servicios, gane

habilidades y experiencia

práctica con las tecnologías

AWS

aws.amazon.com/training

Entrenamiento

Valide sus habilidades y

experiencia con la plataforma

AWS

Construya habilidad técnica para

diseñar y operar aplicaciones

escalables y eficientes en AWS

AWS Entrenamiento & Certificación

Agenda

1. Introducción

2. Compartiendo la responsabilidad de la

seguridad

3. Funcionalidades de seguridad AWS

4. Recomendaciones

5. Verificación de nuestro nivel de

seguridad

6. Material adicional

Mauricio Muñoz – Arquitecto de Soluciones

Jornada hacia la Nube AWS

Mejores prácticas

de

Seguridad de la Información

aws.amazon.com/es/about-aws/events/monthlywebinarseries

aws.amazon.com/es/about-aws/events/monthlywebinarseries/contact-us