![Page 1: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/1.jpg)
Bogotá
![Page 2: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/2.jpg)
Seguridad en la nube AWS
Henry Alvarado
Arquitecto de soluciones
Amazon Web Services
![Page 3: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/3.jpg)
La seguridad es el paso cero
![Page 4: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/4.jpg)
La seguridad es el paso cero
Network
SecurityPhysical
Security
Platform
SecurityPeople &
Procedures
![Page 5: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/5.jpg)
La seguridad es compartida
![Page 6: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/6.jpg)
Todo se construye bajo una base de mejora constante en
seguridad
AWS Foundation Services
Compute Storage Database Networking
AWS Global Infrastructure Regions
Availability Zones
Edge Locations
AWS es
responsable por
la seguridad DE
La nube
GxP
ISO 13485
AS9100
ISO/TS 16949
![Page 7: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/7.jpg)
AWS Foundation Services
Compute Storage Database Networking
AWS Global Infrastructure Regions
Availability Zones
Edge Locations
Client-side Data Encryption
Server-side Data Encryption
Network Traffic Protection
Platform, Applications, Identity & Access Management
Operating System, Network, & Firewall Configuration
Customer applications & contentC
ust
om
ers
La seguridad y conformidad es una responsabilidad compartida
Los clientes
tienen la
elección de las
configuraciones
de seguridad EN
la nube
AWS es
responsable por
la seguridad DE
La nube
![Page 8: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/8.jpg)
La seguridad es familiar
![Page 9: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/9.jpg)
La seguridad es familiar• Nos esforzamos por mantener la seguridad en
AWS tan familiar para usted como lo es hoy en
día– Visibilidad
– Auditable
– Bajo control
– Agilidad
![Page 10: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/10.jpg)
Visibilidad
![Page 11: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/11.jpg)
Visibilidad
Qué tan frecuentemente usted realiza un mapeo de su red?
Cómo es su ambiente
En este momento?
![Page 12: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/12.jpg)
![Page 13: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/13.jpg)
![Page 14: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/14.jpg)
La seguridad es Visible• Quién está accediendo los recursos?
• Quién realizó alguna acción?– Cuando?
– Desde donde?
– Qué hizo?
– Logs Logs Logs
![Page 15: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/15.jpg)
Usted realiza
llamadas a la
API…
En un creciente
conjunto de
servicios a nivel
mundial
AWS CloudTrail está
continuamente
grabando las
llamadas a la API..
Y entregándole
a usted
archivos de log
AWS CLOUDTRAIL
RedshiftAWS CloudFormation
AWS Elastic Beanstalk
![Page 16: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/16.jpg)
Casos de uso habilitados por CloudTrail
• Análisis de seguridad Use archivos de log como datos de entrada para soluciones de administración y análisis
de logs para realizar análisis de seguridad y detección de patrones de usuario
• Siga los cambios sobre recursos AWS Realice seguimiento a la creación, modificación y eliminación de recursos AWS como
instancias EC2, grupos de seguridad de Amazon VPC, volúmenes EBS, entre otros…
• Solución de problemas operacionales Identifique cuales fueron las últimas acciones realizadas sobre recursos en su cuenta
AWS
• Ayudas en conformidad Facilidad para demostrar conformidad con políticas internas y estándares regulatorios
![Page 17: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/17.jpg)
CloudTrail Regional Availability
![Page 18: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/18.jpg)
Auditable
![Page 19: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/19.jpg)
AWS Config
AWS Config es un servicio completamente
administrado que le permite tener un
inventario de sus recursos AWS, permitiendo
auditar la historia de configuraciones
realizadas y notificarle cuando algún cambio
es realizado.
![Page 20: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/20.jpg)
Continuous ChangeRecordingChanging
Resources
AWS Config
History
Stream
Snapshot (ex. 2014-11-05)
AWS Config
![Page 21: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/21.jpg)
Casos de uso que AWS Config permite
• Análisis de seguridad: Estoy seguro?
• Auditoría de conformidad: Donde está la
evidencia?
• Control de cambios: Cual es el efecto de un
cambio?
• Solución de problemas: Qué ha cambiado?
![Page 22: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/22.jpg)
Mi ambiente está seguro?
• Recursos correctamente configurados son críticos para la seguridad
• Config permite que usted monitoree las configuraciones de sus recursos y evalúe de inmediato si éstas configuraciones son potenciales debilidades de seguridad
![Page 23: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/23.jpg)
Donde está la evidencia?
• Muchas auditorías de conformidad
requieren acceso al estado de sus
sistemas en un momento
determinado (ej. PCI, HIPAA)
• Un inventario completo de todos
los recursos y sus respectiva
configuraciones en cualquier
momento en el tiempo
![Page 24: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/24.jpg)
Cual es el efecto de este cambio?
• Cuando sus recursos son
creados, modificados o
eliminados, estos cambios de
configuración son transmitidos a
Amazon SNS
• Las relaciones entre recursos
son claras, lo que permite
proactivamente evaluar el
impacto de un cambio.
![Page 25: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/25.jpg)
Qué cambió?
• Es crítico poder ser capaces de
responder rápidamente “Qué
cambió?”
• Usted puede rápidamente
identificar un cambio reciente en
sus recursos usando la consola o
construyendo integraciones
personalizadas con los archivos
de historia que son regularmente
exportados
![Page 26: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/26.jpg)
Control
![Page 27: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/27.jpg)
Seguridad de primera clase y comienzo de
conformidades (pero no final!) con cifrado
Cifrado automático con llaves administradas
Traiga sus propias llaves
Módulos de seguridad en hardware dedicado
![Page 28: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/28.jpg)
Mejores prácticas y cifrado con AWS
Llaves de cifrado administradas
Almacenamiento de llaves con AWS CloudHSM
Llaves de cifrado proveídas por el cliente
Crear, almacenar y obtener llaves de forma segura
Rotación de llaves regularmente
Auditoria del acceso a las llaves de forma segura
![Page 29: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/29.jpg)
AWS Key Management Service
• Es un servicio administrado que le permite fácilmente crear, controlar y usar sus llaves de cifrado
• Integrado con los SDKs y servicios de AWS, incluyendo Amazon EBS, Amazon S3 y Amazon Redshift
• Integrado con AWS CloudTrail para proveer logsauditables y ayudar con las actividades de regulación y conformidad.
![Page 30: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/30.jpg)
AWS Key Management ServiceIntegrado con la consola AWS IAM
![Page 31: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/31.jpg)
AWS Key Management ServiceIntegrado con Amazon EBS
![Page 32: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/32.jpg)
AWS Key Management ServiceIntegrado con Amazon S3
![Page 33: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/33.jpg)
AWS Key Management ServiceIntegrado con Amazon Redshift
![Page 34: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/34.jpg)
Agilidad
![Page 35: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/35.jpg)
Cómo AWS practica la seguridad?
![Page 36: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/36.jpg)
La práctica de seguridad en AWS es
diferente, pero el resultado es familiar:
Entonces, cómo está compuesto su equipo
de seguridad?
• Operaciones
• Ingeniería
• Seguridad de Aplicaciones
• Conformidad
![Page 37: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/37.jpg)
Nuestra cultura:
Todos somos dueños
Cuando el problema es “mío” en vez de
“suyo”, hay más chances de que yo haga lo
correcto
![Page 38: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/38.jpg)
Mida constantemente, reporte
regularmente y mantenga los ejecutivos
responsables por la seguridad – hace
que ellos dirijan la cultura correcta
Nuestra cultura:
![Page 39: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/39.jpg)
Nuestra cultura:
Mida, mida y mida
• Métricas cada 5 min es baja precisión
• Métricas cada 1 min son escasamente OK
![Page 40: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/40.jpg)
Nuestra cultura:
Decir “no” es una falla
![Page 41: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/41.jpg)
Nuestra cultura:
Ponga más esfuerzo en el “por qué” en vez que
en el “como”
Por qué esto realmente importa?
Cuando algo salga mal, pregunte “cinco veces, por
qué?”
![Page 42: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/42.jpg)
Nuestra cultura:
Descentralice – no sea un cuello de botella
Es la naturaleza humana rodear cuellos de
botella
![Page 43: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/43.jpg)
Nuestra cultura:
Cree servicios que otros puedan consumir a
través de APIs robustas
![Page 44: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/44.jpg)
Nuestra cultura:
Pruebe, Constantemente
• Dentro/Fuera
• Privilegiado/No privilegiado
• Black-box/white-box
• Proveedor/construido en casa
![Page 45: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/45.jpg)
Nuestra cultura:
El monitoreo proactivo arregla su día
• Qué es “normal” en su ambiente?
• Saber CUANDO pasó algo malo
![Page 46: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/46.jpg)
Nuestra cultura:
Colecte, digiera, desmenuce y use inteligencia
![Page 47: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/47.jpg)
Nuestra cultura:
Haga su equipo de conformidad parte de las
operaciones de seguridad
![Page 48: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/48.jpg)
Nuestra cultura:
Base sus decisiones en hechos, métricas y
entendimiento detallado de su ambiente y sus
adversarios
![Page 49: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/49.jpg)
Controles de seguridad simples
Fácil hacerlo bien
Fácil de auditar
Fácil de hacer cumplir
![Page 50: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/50.jpg)
De Esto
A esto
![Page 51: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/51.jpg)
Reducción continua de áreas
expuestas
![Page 52: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/52.jpg)
Reducción continua del acceso
potencial humano
![Page 53: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/53.jpg)
Cifrado ubicuo
![Page 54: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/54.jpg)
Separación aún más granular
![Page 55: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/55.jpg)
Seguridad es el trabajo cero
Usted va a estar mejor protegido en AWS de lo que
usted está en su propio ambiente
– “Based on our experience, I believe that we can be even more
secure in the AWS cloud than in our own data centers.”
-Tom Soderstrom, CTO, NASA JPL
– Nearly 60% of organizations agreed that CSPs [cloud service
providers] provide better security than their own IT organizations.
Source: IDC 2013 U.S. Cloud Security Survey,
doc #242836, September 2013
![Page 56: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/56.jpg)
Security that fitsAWS Summit Bogotá
Juan Nieves
Sales Engineer
![Page 57: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/57.jpg)
La seguridad es una
Responsabilidad Compartida
La nube AWS
![Page 58: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/58.jpg)
Foundation Services
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability Zones
Edge Locations
Client-side Data Encryption & Data
Integrity Authentication
Server-side Encryption
(File System and/or Data)Network Traffic Protection
(Encryption/Integrity/Identity)
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer DataA
ma
zo
nC
lien
te
• SOC I, II, III
• ISO 27001/ 2 Certification
• Payment Card Industry (PCI)
• Data Security Standard (DSS)
• FISMA Compliant Controls
• DIACAP Compliant Controls
• FedRAMP Compliant Controls
• ITAR Compliant
• HIPAA applications
• FIPS
• CSA
• MPAA
aws.amazon.com/compliance
![Page 59: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/59.jpg)
Foundation Services
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability Zones
Edge Locations
Client-side Data Encryption & Data
Integrity Authentication
Server-side Encryption
(File System and/or Data)Network Traffic Protection
(Encryption/Integrity/Identity)
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer DataA
ma
zo
nC
lien
te
• SOC I, II, III
• ISO 27001/ 2 Certification
• Payment Card Industry (PCI)
• Data Security Standard (DSS)
• FISMA Compliant Controls
• DIACAP Compliant Controls
• FedRAMP Compliant Controls
• ITAR Compliant
• HIPAA applications
• FIPS
• CSA
• MPAA
Los Clientes Implementan
su propio conjunto de
Controles
aws.amazon.com/compliance
![Page 60: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/60.jpg)
![Page 61: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/61.jpg)
Caso de Éxito
![Page 62: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/62.jpg)
DesafiosPCI e Compliance
Proteger las
vulnerabilidades(IDS/IPS)
Gestión Simplificada y Centralizada de
Controles de Seguridad
Integración con el ambiente en la
nube de AWS
![Page 63: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/63.jpg)
![Page 64: AWS Summits América Latina 2015- Seguridad en AWS](https://reader033.vdocuments.net/reader033/viewer/2022042701/55ceddbebb61ebe64c8b45ce/html5/thumbnails/64.jpg)
Muchas
Gracias!