|
Cloud IO Enabler Podcast
 |
AWS es la plataforma Líder de Computación en la Nube con más de 200 servicios disponibles para acelerar la Transformación Digital de las empresas, sin embargo priorizando la seguridad desde sus inicios, ha creado como parte de uno de los cinco pilares de una Arquitectura de la Nube de Excelencia, un conjunto de más de 25 servicios para gestionar las seguridades en la Nube.
Totalmente diseñada alrededor de las mejores prácticas y estándares de seguridad, ha ido más allá con un enfoque orientado a las necesidades únicas que presenta un modelo de Computación en la Nube.
Modelo de Seguridad en AWS
AWS ha concebido la seguridad en un modelo compartido entre AWS y su Cliente.
Responsabilidades de AWS
Las seguridades en la Nube AWS, han sido diseñadas bajo los más altos estándares internacionales de Seguridad y aplicando las mejores prácticas de la Industria, además de implementar una serie de características como controles redundantes por capas, validación y testeo continuo, y automatización de monitoreo y protección 24×7.
Todo el enfoque es aplicado a lo largo de todos sus Centros de Datos que al día de son más de 100 en todo el mundo.
Dentro de este modelo es responsable por proteger la infraestructura donde corren todos los servicios ofertados a sus clientes, incluyendo el Hardware, el Software, la Red y las Instalaciones.
Responsabilidades de los Clientes
Los clientes son responsables de las cargas de trabajo (llamados workloads) que despliegan en los diferentes servicios de AWS.
Las áreas en donde el Cliente es responsable de las seguridades de estos workloads incluye:
- Sus datos,
- Sus aplicaciones y/o plataformas,
- La gestión de usuarios y accesos,
- El tráfico de datos en sus segmentos de Red, incluyendo Encriptación, Identidad e Integridad,
- Sus reglas de firewall,
- Sus Sistemas Operativos y las actualizaciones,
- Encriptación, Autenticación e Integridad de Datos del lado del Cliente.
- Encriptación de datos y del sistema de archivos del lado del Servidor.
Servicios y Herramientas para gestionar la Seguridades en la Nube AWS
Para esto AWS ha diseñado un conjunto de herramientas y servicios que facilitan la protección preventiva y correctiva de asuntos de Seguridad en la Nube.
Cada servicio está orientado concretamente a cierto aspecto de seguridad, y ofrece flexibilidad de forma que sus Clientes puedan crear ambientes más o menos estrictos de acuerdo al caso de negocio.
Es necesario acotar que AWS tiene servicios en modalidad PaaS o SaaS en cuyo caso las áreas de responsabilidad del Cliente disminuyen drásticamente y pasan a ser responsabilidad de AWS, es así por ejemplo el uso de servicios como Amazon RDS que gestiona el Sistema Operativo y Software Base de Datos y sus actualizaciones e instalaciones.
Resulta extremadamente extenso explicar todos los servicios de seguridad por lo que vamos a presentar los principales en cada área de gestión que resultan común en una planificación de seguridades de su Infraestructura.
Privacidad y Control de Accesos a Red
VPC y Security Groups
Amazon VPC gestiona la red a través de redes virtuales privadas sobre las cuales el usuario tiene completo control de las IP, sus subredes, las tablas de enrutamiento, los accesos privados y públicos, etc.
Security Groups es un firewall como primera línea de defensa en la VPC para habilitar puertos pública y privadamente entre las subredes y/o servicios en AWS, con la regla cero privilegios primero.
VPN, Direct Connect y PrivateLink
AWS VPN no requiere de mucha ampliación sin embargo cabe resaltar que AWS tiene predefinidos mecanismos para conexión con las principales tecnología del sector Virtual Private Network, combinadas con estrategias globales de Identidad y Gestión de Accesos (IAM).
AWS Direct Connect es una conexión dedicada entre AWS su empresa a través de un ISP Partner de AWS que asegura la exclusividad de tráfico en las interacciones On-premises y Cloud y además gestiona una capacidad mayor de ancho de banda.
AWS PrivateLink es un servicio que garantiza que el tráfico entre la VPC y un servicio específico de AWS no esté expuesto a la Internet pública de forma que se simplifica el manejo y se incrementa el escudo de protección con sus instalaciones.
Shield y GuardDuty
AWS Shield protege sus aplicaciones y/o sitios web ante los ataques DDoS más comunes, que normalmente ocurren en la capa de red y transporte, y es un beneficio sin costo que trae AWS, sin embargo tiene una versión avanzada que proporciona casi en tiempo real detección y mitigación adicionales contra ataques DDoS sofisticados y a gran escala.
Amazon GuardDuty es un servicio a destacar pues se trata del monitoreo continuo de actividades maliciosas y comportamientos no autorizados que suceden en su VPC (su red), que ejecutan sus usuarios (IAM) y el acceso a datos almacenados. Es una excelente forma preventiva de gestionar su seguridad en la Nube.
Mejores prácticas y estándares organizacionales
Config e Inspector
AWS Config constituye el servicio Corporativo que asegura el cumplimiento de la política de seguridad empresarial a lo largo de todos los recursos aprovisionados en la Nube. Un detalle no menor, ya que monitorea y registra de forma constante las configuraciones gestionadas en los recursos de la Nube y las compara contra las configuraciones deseadas, permitiendo una respuesta preventiva alrededor de la infraestructura en AWS.
Amazon Inspector permite gestionar las Pruebas de Seguridad automáticamente alrededor de las Aplicaciones desplegadas en la Nube, busca de exposiciones, vulnerabilidades y desviaciones en relación con las prácticas recomendadas y genera informes detallados y priorizados de acuerdo a la severidad.
Encriptación de Datos
KMS y CloudHSM
AWS Key Management Service (KMS) es el servicio de AWS que permite crear y administrar con facilidad las llaves para encriptación de datos en una amplia variedad de servicios de AWS y en sus aplicaciones. Tiene la flexibilidad para manejar sus propias llaves de encriptación o autogenerar llaves para encriptar sus datos en caso de que usted requiera.
AWS CloudHSM es la solución que presenta AWS cuando los estándares corporativos o de la Industria requieren un módulo de seguridad de hardware (HSM), AWS provee el mismo en la nube y le permite generar y usar con facilidad sus propias claves de cifrado.
Certificate Manager
AWS Certificate Manager es un servicio que permite gestionar certificados SSL/TLS para capa de transporte y su uso con servicios de AWS y recursos internos conectados. Estos certificados son gratuitos para el uso público o privado con los recursos de AWS. También le va a permitir gestionar su propio CA (certificate authority).
Identidad y Control de Accesos
IAM
AWS Identity and Access Management (IAM) es el servicio principal en AWS a través del cual gestiona usuarios, roles, grupos y accesos a lo largo de toda su cuenta AWS y los recursos aprovisionados. Es transversal en el diseño y seguridad de sus aplicaciones, tanto en políticas de accesos entre usuarios y servicios, como en políticas de accesos entre servicios. Tiene una integración con los APIs de programación de componentes de cómputo y tecnologías Serverless, y, además está completamente integrado con tecnologías que permiten monitorización y rastreo de actividad. Sin lugar a duda este es el servicio a dominar al usar la Nube AWS y gestionar sus seguridades.
Monitoreo y Registro
Cloud Trial
AWS CloudTrial es otro servicio fundamental en la Nube AWS, ya que permite realizar auditorías acerca de la actividad de sus usuarios y/o monitorear el consumo APIs de servicios. Captura esta actividad, almacenándola para una revisión posterior, y además puede actuar sobre esta actividad integrándose con alarmas y eventos configurados en otro servicio AWS CloudWatch para realizar acciones de respuesta. Va a ser junto a CloudWatch uno de los servicios más importantes para gestionar la respuesta automática a eventos alrededor de sus aplicaciones y aprovisionamiento de recursos.
Pensamientos finales
Hackers y Crackers aprovechan los descuidos en la infraestructura de los Centros de Datos para vulnerar sus recursos con diferentes fines, y a menudo los descuidos obedecen a exceso de confianza, falta de herramientas tecnológicas, presupuesto o gestión.
De acuerdo al estudio “Principales Retos en la Adopción de la Nube en Ecuador” la Seguridad en lo primero, y es así como las seguridades en la Nube AWS sobre toda su infraestructura ha sido diseñada; facilitando un conjunto de más de 25 servicios que cubren muchos aspectos de seguridad, con un modelo de costos completamente accesible desde Startups hasta Corporaciones y una flexibilidad que nos permite ir de 0 a 100 en políticas de seguridad.
La tecnología ahora esta al alcance, simplificada y accesible.
Resulta abrumar hablar de cada servicio que tiene Amazon, pero en el siguiente artículo hemos condensado los principales de forma que podamos apoyarlo a usted como Líder de Tecnología con una visión completa de las opciones que posee para proteger el activo más importante a su compañía
Queremos además recomendar dos recursos importantísimos que AWS nos provee producto de su experiencia con empresas multinacionales con JPMorgan Chase Bank:
- Framework de Arquitectura bien diseñada en AWS – Pilar Seguridad.
- Guía de Respuesta ante incidentes de Seguridad en AWS.
- Lista completa de todos los Servicios de Seguridad.
Las empresas en su Industria ya están innovando. El Lead Time y el Time to Market son la diferencia entre las empresas que perdurarán en el mercado. Conozca que posibilidades le ofrece AWS para su Transformación Digital en un entrenamiento gratuito para usted y su equipo de TI.
Agradecemos su tiempo y esperamos que este contenido, principales retos en la adopción de la Nube, le haya resultado útil en su labor de liderazgo tecnológico.
