Post on 12-Apr-2017
Mauricio Muñoz – Arquitecto de Soluciones
Jornada hacia la Nube AWS
Mejores prácticas
de
Seguridad de la Información
Seguridad en la Nube AWS
Diseñada para ser uno de los ambientes de nube más flexibles y
seguros
Elimina muchos de los inconvenientes que aparecen al tratar de
seguridad de la infraestructura
Funcionalidades de Seguridad embebidas
https://aws.amazon.com/whitepapers/aws-security-best-practices/
Agenda
1. Introducción
2. Compartiendo la responsabilidad de la
seguridad
3. Funcionalidades de seguridad AWS
4. Recomendaciones
5. Verificación de nuestro nivel de
seguridad
6. Material adicional
1. INTRODUCCIÓN
Enfoque de
seguridad de
AWS
Tamaño del
equipo de
seguridad
Visibilidad de los
recursos y utilización
Aumentando su postura de seguridad en la Nube
Acreditaciones & Certificaciones
(amplia cobertura)
Ecosistema de
Partners
Ecosistema de
clientes
Todos se ven
beneficiados
Beneficios por el efecto de “Comunidad”
2. COMPARTIENDO LA
RESPONSABILIDAD DE LA
SEGURIDAD
Modelo de Seguridad Compartida
• Responsabilidad compartida
– Permita que AWS haga el trabajo pesado
– Enfóquese en lo más importante para su negocio
• Cliente• Selección del Sistema Operacional
• Aplicaciones
• Security Groups
• ACLs
• Gestión de las cuentas AWS
• Identity management
• AWS• Operación de las instalaciones
• Seguridad física
• Infraestructura física
• Infraestructura de red
• Infraestructura de virtualización
• Gestión de hardware (ciclo de vida)
Infraestructura Container Abstractos
Tales como Amazon EC2, Amazon EBS y Amazon VPC
Modelo de Seguridad Compartida: Servicios de Infraestructura
Tales como Amazon RDS y Amazon EMR
Modelo de Seguridad Compartida: Servicios “Container”
Tales como Amazon S3 y Amazon DynamoDB
Modelo de Seguridad Compartida: Servicios Abstractos
3. FUNCIONALIDADES DE SEGURIDAD
ACCESO SEGUROTLS PARA LOS ACCESOS A API ENDPOINTS
https://github.com/awslabs/s2n
FIREWALLS EMBEBIDOSUSTED CONTROLA EL ACCESO A SUS INSTANCIAS
RBAC (Role Based Access
Control)CON PERMISOS GRANULARES
AUTENTICACIÓN FUERTE
(MFA)EMBEBIDA
SUBREDES PRIVADASDENTRO DE SU RED PRIVADA VIRTUAL (AWS VPC)
ENCRIPCIÓN DE SUS
DATOS EN REPOSOUSANDO LLAVES AES-256bits
CLOUD HSMFORMA ALTAMENTE SEGURA DE ALMACENAR LLAVES
CONEXIÓN DEDICADAOPCIÓN OFRECIDA POR AWS DIRECT CONNECT
AUDITORÍA - LOGSAWS CLOUDTRAIL, AWS CONFIG &
AMAZON CLOUDWATCH LOGS
TRUSTED ADVISORSU EXPERTO PERSONAL EN ASUNTOS DE NUBE
4. RECOMENDACIONES
Conozca el modelo AWS de seguridad compartidaConstruya sus sistemas en la Nube AWS y diséñelos usando un SGSI que aproveche las
funcionalidades de AWS
Entienda la infraestructura global (y segura) de AWSRegiones, Zonas de disponibilidad y Puntos de presencia
RegionesConjunto independiente de recursos AWS en una geografía determinada.
Forman una base sólida para cumplir con requerimientos de privacidad y
conformidad de regiones específicas.
Zonas de DisponibilidadDiseñadas como zonas de falla independientes
Físicamente separadas, dentro de una región metropolitana
Entienda la infraestructura global (y segura) de AWSUsando el servicio IAM
http://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html
AWS Identity and Access Management (IAM) le permite implementar
control de acceso a los servicios y recursos AWS.
Usando IAM, usted puede crear y administrar usuarios y grupos AWS,
a la vez que utiliza permisos para permitir o negar access a los
recursos AWS, utilizando diferentes tipos de credenciales como llaves
privadas, \contraseñas y dispositivos MFA (multi-factor
authentication).
Puede también configurar acceso federado (con SAML) con sus
directorios de usuario ya existentes, como OpenLDAP o
ActiveDirectory.
Defina y Clasifique sus activos en AWSIdentifique los activos de información que serán protegidos
Diseñe su SGSI para proteger sus activos en
AWSEstablezca un estándar para implementar, operar, monitorear, verificar,
mantener y mejorar su sistema de gestión de seguridad de la información
Administrar cuentas AWS, usuarios, grupos y roles IAMOpere bajo el principio del menor privilegio
Cuenta AWSSu cuenta AWS representa una relación de negocios entre usted y AWS. Las
cuentas AWS entregan permisos de superusuario a todos los recursos y
servicios AWS, es plenipotenciaria.
Usuarios IAMCon IAM, puede crear múltiples usuarios, cada uno con credenciales individuales y
todos controlados bajo una única cuenta AWS.
Los usuarios IAM pueden ser una persona, un servicio o una aplicación que
requiere accesso a sus recursos AWS, sea a través de la consola, via CLI o
directamente via APIs.
Administrar cuentas AWS, usuarios, grupos y roles IAMEstrategias para utilización de múltiples cuentas AWS
Business Requirement Proposed Design Comments
Centralised security management Single AWS Account Centralize information security management and minimize overhead.
Separation of production, development & testing accounts Three AWS Accounts Create one AWS account for production services, one for development and one for testing
Multiple autonomous departments Multiple AWS Accounts Create separate AWS accounts for each autonomous part of the organization. You can assign permissions and policies
under each account
Centralized security management with multiple
autonomous independent projects
Multiple AWS Accounts Create a single AWS account for common project resources (such as DNS services, Active Directory, CMS etc.). Then
create separate AWS accounts per project. You can assign permissions and policies under each project account and
grant access to resources across accounts.
https://d0.awsstatic.com/aws-answers/AWS_Multi_Account_Security_Strategy.pdf
Administrar cuentas AWS, usuarios, grupos y roles IAMDelegación usando roles IAM y credenciales temporales (STS)
Aplicaciones en instancias Amazon EC2 que necesitan acceso a recursos AWS
Acceso Cross-Account
Federación de Identidades
Secure Token Service (STS)
http://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html
Gestione el acceso a las instancias Amazon EC2,
a nivel de S.O. Usted es el dueño de las credenciales, AWS ayuda en la automatización del
acceso inicial
Amazon EC2 Key PairsUsadas para autenticar el acceso SSH a instancias Linux y para generar la
contraseña de administrador en instancias Windows.
Para requerimientos más estrictos de seguridad, usted tiene la libertad de
implementar mecanismos de autenticación alternativos y desabilitar la
autenticación por llaves Amazon EC2.
Autorización de acceso a nivel de recursoUsuarios o Roles IAM solamente pueden acceder a los recursos después de ser
autenticados
Políticas altamente granulares son usadas para restringir o permitir que los
usuarios accedan únicamente los recursos que usted especifique.
{
"Effect": "Allow”,
"Action": ["s3:GetObject”,"s3:PutObject”],
"Resource": ["arn:aws:s3:::myBucket/amazon/snakegame/${cognito-identity.amazonaws.com:sub}"]
}
Proteja sus datosEn reposo & en tránsito
Almacenamiento y gestión de llaves de
encripciónRecomendamos que sus llaves sean almacenadas en un dispositivo tamper-
proof, como HSMs. AWS Cloud HSM es una de las opciones disponibles para
esto y la mejor opción si lo que necesita es una validación de un tercero de que
AWS no tiene acceso a sus llaves; para una solución de más fácil integración,
puede utilizar AWS KMS.
Alternativamente, puede almacenar sus llaves localmente (en su datacenter,
usando su propio HSM) y accederlas via enlaces seguros como AWS Direct
Connect con IPsec, o VPNs IPsec via Internet.
aws.amazon.com/cloudhsm/
aws.amazon.com/kms/
Proteja sus datosEn reposo & en tránsito
Protección de datos en reposoDiferentes opciones, dependiendo del servicio AWS
Amazon S3 – Server-Side-Encryption con llaves de Amazon S3, sus propias
llaves de encripción con Customer-Provided Keys (SSE-C) o usando llaves de
KMS
Amazon EBS – use encripción de volúmenes usando herramientas del sistema
operacional o via KMS. Por ejemplo, Windows EFS o Microsoft Windows
Bitlocker, Linux dm-crypt, CloudHSM o on-premise HSM con SafeNet ProtectV
Amazon RDS – use funciones específicas de criptografía de su base de datos o
KMS
EMR/DynamoDB – varias opciones, incluyendo algunas de partners
Amazon Redshift – Puede user KMS o un HSM para gerenciar las llaves de alto
nivel en la jerarquía de encripción
Información adicional en el Whitepaper: Security Best Practices
Proteja sus datosEn reposo & en tránsito
Asegure sus sistemas operativos y aplicacionesPor el modelo de seguridad compartida, usted gestiona la seguridad de los sistemas
operativos y aplicaciones
OS Hardening y ActualizacionesUtilizar Amazon Machine Images (AMIs) facilita la implementación de sistemas
operativos estandarizados y el despliegue de nuevas versiones de aplicaciones
Amazon provee y mantiene un conjunto preconfigurado de AMIs, aunque usted
tiene la libertad de crear sus propias AMIs y usarlas como base para las
instancias EC2 que va a utilizar
Los mismos principios de hardening (CIS Benchmarks, DISA STIGs, etc) pueden
y deben ser aplicados a los sistemas operativos de sus instancias EC2
Mayores informaciones en AWS Security Best Practices Whitepaper
Aplique seguridad a su infraestructuraUtilizando las funcionalidades de la plataforma AWS
Amazon Virtual Private Cloud (VPC)Cree su nube privada con separación de Capa 2, dentro de la nube AWS
Use su propio direccionamiento IP, definido por usted mismo. Use direcciones
privadas (RFC1918) para redes que no sean enrutables a Internet
Utilice las diferentes formas de conectar su VPC, sea via Internet, túneles IPsec
via Internet, AWS Direct Connect, AWS Direct Connect con IPsec, VPC Peering
o una combinación de ellos.
Defina su propia topología de red, tablas de enrutamiento y cree sus propias
instancias de servicios de soporte como servidores DNS o NTP
Zonas de seguridad y Segmentación de red Use la segmentación de red como una forma simple de aislar una subred de otra
Zonas de seguridad son grupos de componentes de un sistema, con
requerimientos similares de seguridad y con controles comunes entre ellos
Combine las funcionalidades de seguridad de la plataforma AWS con sus propios
componentes de seguridad como repositorios de usuarios, DNS & para crear sus
zonas de seguridad
La elasticidad de la infraestructura AWS junto con herramientas de despliegue
automatizado, facilitan la estandarización de los controles de seguridad de forma
global
”Deploy”repetible y uniforme aumenta su nivel general de seguridad
Aplique seguridad a su infraestructuraUtilizando las funcionalidades de la plataforma AWS
Monitoreo, Alertas, Auditoría & Respuesta a IncidentesAdapte sus procesos existentes, herramientas y metodologías para ser usadas en la nube
Implemente monitoreo de S.O. y de alto nivelLos logs pueden ser generados por una variedad de componentes de su
infraestructura como dispositivos de red, S.O., plataformas y aplicaciones
Nosotros recomendamos registrar y analizar eventos como:
• Actividades de usuarios con privilegios administrativos
• Acceso a los registros de auditoría
• Intentos fallidos de acceso lógico
• Uso de mecanismos de identificación y autenticación
• Creación, borrado y modificación de objetos del sistema
Area Consideration
Log collection Note how log files are collected. Often operating system, application, or third-
party/middleware agents collect log file information
Log transport When log files are centralized, transfer them to the central location in a secure, reliable, and
timely fashion
Log storage Centralize log files from multiple instances to facilitate retention policies, as well as analysis
and correlation
Log taxonomy Present different categories of log files in a format suitable for analysis
Log
analysis/correlati
on
Log files provide security intelligence after you analyze them and correlate events in them.
You can analyze logs in real time, or at scheduled intervals.
Log
protection/securi
ty
Log files are sensitive. Protect them through network control, identity and access
management, protection/ encryption, data integrity authentication, and tamper-proof time-
stamping
Area Consideration
Log collection Note how log files are collected. Often operating system, application, or third-
party/middleware agents collect log file information
Log transport When log files are centralized, transfer them to the central location in a secure, reliable, and
timely fashion
Log storage Centralize log files from multiple instances to facilitate retention policies, as well as analysis
and correlation
Log taxonomy Present different categories of log files in a format suitable for analysis
Log
analysis/correlati
on
Log files provide security intelligence after you analyze them and correlate events in them.
You can analyze logs in real time, or at scheduled intervals.
Log
protection/securi
ty
Log files are sensitive. Protect them through network control, identity and access
management, protection/ encryption, data integrity authentication, and tamper-proof time-
stamping
Use CloudWatch Logs para centralizar sus logsCloudWatch Logs le permite monitorear y resolver problemas de sus sistemas y
aplicaciones utilizando los archivos de auditoría (logs) generados por ellos.
Envíe sus archivos de log (sistema, aplicación o personalizados), utilizando nuetro
CloudWatch Logs agent, realizando el monitoreo en casi tiempo real.
Con esto, usted puede entender y operar mejor sus sistemas y aplicaciones, a la vez
que almacena sus logs en almacenamiento altamente durable y de muy bajo costo,
para acceso posterior.
Monitoreo, Alertas, Auditoría & Respuesta a IncidentesAdapte sus procesos existentes, herramientas y metodologías para ser usadas en la nube
Use CloudTrail para registrar las llamadas a las
API AWSAWS CloudTrail es un servicio que registra las llamadas a APIs AWS de su cuenta y
se las entrega en un archivo de log.
La información registrada incluye la identidad del solicitante, la hora de la llamada,
dirección IP origen, parámetros de la solicitud y los elementos retornados.
Con CloudTrail, usted obtiene un historial de las llamadas API a su cuenta, lo que le
permite realizar análisis de seguridad, control de cambios y auditorías.
Monitoreo, Alertas, Auditoría & Respuesta a IncidentesAdapte sus procesos existentes, herramientas y metodologías para ser usadas en la nube
Use AWS Config para registrar cambios en el
ambiente AWSAWS Config es un servicio que registra las configuraciones del ambiente AWS,
cambios y relaciones entre los recursos, entregando la información en archivos de
log.
La información registrada incluye configuración y metadatos de VPCs, RDS, EC2,
IAM, entre otros, así como las relaciones entre ellos y hora de los cambios.
Mientras un snapshot responde a la cuestión de cómo se ve un ambiente en um
momento determinado, el histórico corresponde a saber cuál ha sido la evolución de
un elemento a lo largo del tiempo.
Continuous ChangeRecordingChanging
ResourcesHistory
Stream
Snapshot (ex. 2014-11-05)
AWS Config
Monitoreo, Alertas, Auditoría & Respuesta a IncidentesAdapte sus procesos existentes, herramientas y metodologías para ser usadas en la nube
https://docs.aws.amazon.com/config/latest/developerguide/resource-config-
reference.html
5. VERIFICACIÓN DE NUESTRO NIVEL
DE SEGURIDAD
AWS es Level 1 compliant bajo el estándar Payment Card Industry
(PCI) Data Security Standard (DSS). Los clientes pueden ejecutar
aplicaciones en nuestra infraestructura tecnológica PCI-compliant
para almacenar, procesar y transmitir información de tarjetas de
crédito en la nube.
AWS está certificada ISO 27001. International Organization for
Standardization (ISO) 27001 es un estándar global de seguridad
ampliamente utilizado, que define los requerimientos para el
establecimiento y operación de un Sistema de Gestión de Seguridad
de la Información (SGSI)
Muchos otros estándares y certificaciones han sido alcanzados por
AWS. Mayor información en:aws.amazon.com/compliance
Conformidad en AWS
6. MATERIAL ADICIONAL
aws.amazon.com/security
Documentación
Técnica
AWS
blogs.aws.amazon.com/security
Introduction to AWS Security
Security at Scale: Governance in AWS
Security at Scale: Logging in AWS
AWS Security Best Practices
Securing Data at Rest with Encryption
AWS Security Whitepaper
AWS Security White Papers
aws.amazon.com/iamaws.amazon.com/vpcaws.amazon.com/kmsaws.amazon.com/configaws.amazon.com/cloudtrailaws.amazon.com/cloudhsmaws.amazon.com/cloudwatchaws.amazon.com/trustedadvisoraws.amazon.com/inspectoraws.amazon.com/waf
aws.amazon.com/architecture/
Certificación
aws.amazon.com/certification
Laboratorios On-
Line
aws.amazon.com/training/
self-paced-labs
Pruebe los servicios, gane
habilidades y experiencia
práctica con las tecnologías
AWS
aws.amazon.com/training
Entrenamiento
Valide sus habilidades y
experiencia con la plataforma
AWS
Construya habilidad técnica para
diseñar y operar aplicaciones
escalables y eficientes en AWS
AWS Entrenamiento & Certificación
Agenda
1. Introducción
2. Compartiendo la responsabilidad de la
seguridad
3. Funcionalidades de seguridad AWS
4. Recomendaciones
5. Verificación de nuestro nivel de
seguridad
6. Material adicional
Mauricio Muñoz – Arquitecto de Soluciones
Jornada hacia la Nube AWS
Mejores prácticas
de
Seguridad de la Información
aws.amazon.com/es/about-aws/events/monthlywebinarseries
aws.amazon.com/es/about-aws/events/monthlywebinarseries/contact-us