seguridad en la nube aws
DESCRIPTION
TRANSCRIPT
![Page 1: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/1.jpg)
Seguridad en la nube AWS
Henry Alvarado
Solutions Architect
![Page 2: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/2.jpg)
Responsabilidad compartida
• Instalaciones
• Seguridad Física
• Infraestructura Física
• Infraestructura de Red
• Infraestructura de Virtualización
AWS Cliente • Sistema Operativo
• Aplicación
• Reglas de Firewall (SG)
• Firewall del Sistema Operativo
• Configuración de Red
• Administración de cuentas
![Page 3: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/3.jpg)
Certificaciones AWS
![Page 4: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/4.jpg)
Certificaciones AWS
• Basadas en el modelo de responsabilidad compartida
• Ambiente AWS
– SOC 1 (SSAE 16 & ISAE 3204) Type II Audit (was SAS70)
– SOC 2 Audit
– SOC 3 Audit (Nuevo desde 2013)
– ISO 27001 (Certificación)
– Payment Card Industry Data Security Standard (PCI DSS) Level 1 Service Provider
– FedRAMP (FISMA), ITAR, FIPS 140-2
![Page 5: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/5.jpg)
Clientes implementaron varias aplicaciones certificadas:
– Sarbanes-Oxley (SOX)
– HIPAA (healthcare)
– FISMA (US Federal Government)
– DIACAP MAC III Sensitive IATO
Certificación AWS
![Page 6: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/6.jpg)
Iniciativas Adicionales
• Cuestionario del “Cloud Security Alliance” (CSA) – Respuesta en “Risk and Compliance Whitepaper”
• Motion Picture Association of America (MPAA) – Mejores prácticas para almacenar, procesar y distribuir contenido.
![Page 7: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/7.jpg)
Certificación ISO 27001
• ISO 27001/27002 certificación alcanzada 11/2010
• Sigue ISO 27002 guía de mejores prácticas
• Cubre el AWS “Information Security Management System” (ISMS)
• Cubre EC2, S3, VPC, EBS, RDS, DynamoDB, VM Import/Export, Direct Connect, Storage Gateway, Glacier, EMR, Elastichache, Redshift e IAM
• Auditoría de 3 años; auditoría actualizada cada 12 meses.
• Incluye todas las regiones.
![Page 8: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/8.jpg)
PCI DSS Level 1 Service Provider • PCI DSS 2.0 compliant (Level 1 is >300,000 transactions/year)
• Inicialmente 4 servicios – ahora 14 servicios en el alcance
(Ago 2013):
– EC2, EBS, S3, VPC, RDS, ELB, IAM, Glacier, Direct Connect,
DynamoDB, SimpleDB, Elastic Map Reduce, and new in 2013:
CloudHSM, Redshift
• Certificada en todas las regiones AWS
• Ciclo de actualización es anual
![Page 9: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/9.jpg)
Cómo AWS lo logró?
![Page 10: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/10.jpg)
Seguridad Física de los Datacenters • Amazon ha construido datacenters de gran escala por muchos años
• Atributos importantes: – Instalaciones / datacenters no divulgados públicamente
– Robustos controles de perímetro
– Estricto control de acceso físico
– 2 o mas niveles de autenticación “two-factor”
• Acceso altamente controlado (“need-basis”)
• Todo acceso es registrado y revisado
• Separación de papeles – Empleados con acceso físico no poseen acceso lógico.
![Page 11: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/11.jpg)
Gestión de configuración AWS
• La mayor parte de las actualizaciones son hechas de forma que no impacten al usuario.
• Los cambios son autorizados, registrados, probados, aprobados y documentados.
• AWS comunicará vía email o a través del AWS Service Health Dashboard (http://status.aws.amazon.com/) cuando exista una posibilidad de afectar a los clientes.
Los clientes son responsables por el control de cambios en sus ambientes!
![Page 12: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/12.jpg)
• Sistema Operativo del Host (debajo del hypervisor)
– Accesos individuales SSH con llave, usando Bastion Host para administradores AWS.
– Todo acceso es registrado y auditado.
• Guest (a.k.a. Instancia) Sistema Operativo
– Controlado por el cliente (credenciales root/administrator son del cliente)
– Administradores AWS no poseen credenciales de acceso.
– Par de llaves generadas y administradas por el cliente
• Firewall Stateful
– Firewall de entrada es obligatorio, por defecto todo acceso es negado (En VPC también existe firewall de salida)
– El cliente controla la configuración de los firewalls a través de los Security Groups • Signed API calls
– Es necesario usar certificado X.509 o las Secret Keys del usuario.
Seguridad en EC2
![Page 13: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/13.jpg)
Interfaces Físicas
Cliente 1
Hypervisor
Cliente 2 Cliente n …
… Interfaces Virtuales
Firewall
Cliente 1 Security Groups
Cliente 2 Security Groups
Cliente n Security Groups
Amazon EC2 Instance Isolation
![Page 14: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/14.jpg)
• Todo dispositivo de almacenamiento debe pasar por este proceso.
• Técnicas utilizadas:
– DoD 5220.22-M (“National Industrial Security Program Operating Manual”)
– NIST 800-88 (“Guidelines for Media Sanitation”)
• Finalmente
– Desmagnetización
– Destrucción física
Descarte de dispositivos de almacenamiento
![Page 15: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/15.jpg)
• Security Groups (Reglas de Firewall) • Tráfico de entrada necesita ser
explícitamente especificado por protocolo, puerto y Security Group (SG)
• VPC agrega filtros de salida • VPC también agrega “Network Access Control
Lists” (ACLs): filtros “stateless” de entrada y salida.
• OS Firewall (e.g., iptables) también puede ser implementado • Capa de seguridad controlada por el
usuario • Control de acceso granular para hosts
específicos • Registro de eventos (log)
Seguridad en el flujo de tráfico de red
Encrypted File System
Encrypted Swap File
OS
Fire
wal
l
Am
azo
n S
ecu
rity
Gro
up
s
VP
C N
etw
ork
AC
L
Inbound Traffic
![Page 16: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/16.jpg)
Amazon EC2 Instancias
• Tráfico confidencial debería ser controlado con criptografía. • Tráfico hacia la red corporativa, debería ser encapsulado dentro de túneles VPN.
Red Corporativa
Tráfico Internet
VPN
Confidencialidad en el tráfico de red
![Page 17: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/17.jpg)
Creando arquitecturas seguras
![Page 18: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/18.jpg)
• Servicios escalables y tolerantes a fallas
• Todos los datacenters están siempre activos (“always on”) – No tenemos “Disaster Recovery Datacenter”
– Administrados bajo los mismo estándares
• Conectividad robusta con Internet – Cada AZ posee proveedores de servicios (Tier 1) redundantes
– Infraestructura de red confiable
AWS está construida para “Disponibilidad continua”
![Page 19: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/19.jpg)
• Usuarios y Grupos dentro de las cuentas
• Credenciales únicas de seguridad
• Llaves de acceso
• Login/Password
• Dispositivo MFA opcional
• Políticas de control de acceso a las APIs AWS
• Altamente integrada con algunos servicios
• S3: Políticas sobre objetos y buckets
• Consola de administración AWS soporta log on de usuario
• No está pensado para Sistemas Operativos o aplicaciones
• Para esto, utilizar: LDAP, Active Directory/ADFS, etc...
AWS Identity and Access Management
![Page 20: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/20.jpg)
• Credenciales de seguridad temporales, conteniendo: Identidad para autenticación
Políticas de acceso para control de permisos
Expiración Configurable (1 – 36 horas)
• Soporta: Identidades AWS (incluyendo usuarios IAM)
Federación de identidades (autentica usuarios de los clientes)
• Escala para millones de usuarios – No necesita crear una identidad IAM para cada usuario.
• Casos de uso Federación de identidad para la APIs AWS
Aplicaciones para dispositivos móviles o navegadores
Aplicaciones con usuarios ilimitados
Credenciales de seguridad temporales (sesiones)
![Page 21: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/21.jpg)
Sincronización de Identidad con IAM
![Page 22: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/22.jpg)
Federación de Identidad AWS APIs
![Page 23: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/23.jpg)
• Ayuda a prevenir que personas con conocimiento de su login y contraseña tengan acceso suplantando su identidad
• Protección adicional para la información de su cuenta
• Funciona con:
– Cuenta Master
– Usuarios IAM
• Integrado con:
– Consola de administración AWS
– Key pages en el Portal AWS
– S3 (Borrado con seguridad)
– Workspaces (NEW) Una opción de seguridad altamente recomendada
Autenticación Multi-Fator AWS
![Page 24: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/24.jpg)
Capa Web
Capa de Aplicación
Capa de Base de datos
Únicamente puertos 80 y 443 abiertos a
internet
Staff de ingeniería tiene acceso ssh a la capa de
aplicación que actúa como un Bastión
Todos los otros puertos de acceso de internet,
bloqueados por defecto
Amazon EC2 Security Group Firewall
Ejemplo de abordaje de seguridad Multi-capa
![Page 25: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/25.jpg)
• Crear un ambiente aislado lógicamente en la infraestructura altamente escalable de Amazon. • Especificar su rango de direccionamiento IP privado dentro de una o más subredes públicas o
privadas. • Controlar el acceso de entrada y salida desde y hacia subredes individuales usando
“stateless” Network Access Control Lists • Proteger sus instancias con filtros “stateful” de entrada y salida de tráfico usando Security
Groups • Vincular una dirección IP Elástica (EIP) a cualquier instancia en su VPC para que ella sea
alcanzable directamente desde internet. • Unir su VPC con su infraestructura de TI on-premises bajo estándares de la industria para
conexiones VPN IPSEC cifradas. • Utilizar un wizard para fácilmente crear su VPC en 4 topologías diferentes.
Amazon Virtual Private Cloud (VPC)
![Page 26: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/26.jpg)
Controles de seguridad de red en VPC
![Page 27: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/27.jpg)
• Opción para garantizar que host físicos no son compartidos por otros clientes
• $2/hr flat fee por región + specific dedicated pricing
• Opción de identificar instancias específicas como dedicadas.
• Opción de configurar toda una VPC como dedicada.
http://aws.amazon.com/dedicated-instances/
VPC – Instancias dedicadas
![Page 28: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/28.jpg)
• Diseño con menor cantidad de privilegios
• SOA design
• Clasificar los recursos y proteger de acuerdo a ellos
• Seguridad en todas las capas
• Inspeccione/verifique lo que usted imagina/espera
Recomendaciones:
![Page 29: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/29.jpg)
• Respuestas a muchas preguntas de seguridad y privacidad • Security whitepaper • Risk and Compliance whitepaper
• Boletines de Seguridad
• Penetration testing por el cliente
• Mejores prácticas de seguridad
• Más informaciones: • AWS Identity & Access Management (AWS IAM)
• AWS Multi-Factor Authentication (AWS MFA)
AWS Security and Compliance Center (http://aws.amazon.com/security/)
![Page 30: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/30.jpg)
• Converse con nosotros sobre sus preguntas de seguridad
• Arquitectos de Soluciones especialistas en seguridad y conformidad, están disponibles para hablar con usted cuando lo necesite.
Recursos Adicionales
![Page 31: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/31.jpg)
• Preguntas sobre nuestras certificaciones y
conformidades?
• Otras certificaciones necesarias que usted considere que
debamos explorar?
Sus sugerencias/dudas son *muy* importantes…
![Page 32: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/32.jpg)
Gracias! aws.amazon.com/security
Henry Alvarado
• Email: gomhenry@amazon.
![Page 33: Seguridad en la nube aws](https://reader033.vdocuments.net/reader033/viewer/2022050905/5496aa29ac7959482e8b50c6/html5/thumbnails/33.jpg)