Modelo compartido de seguridad

Modelo compartido de seguridad

¿En qué consiste el modelo compartido de seguridad de AWS?

Mover la infraestructura a AWS crea un modelo de responsabilidad compartida entre el cliente y AWS.

El cliente asume responsabilidad por el manejo de los sistemas operativos montados en las instancias de EC2 y el software asociado a estas, así como de la configuración de seguridad establecida.

AWS ha desarrollado una estrategia de negocio la cual incluye identificar e implementar controles para reducir y manejar el riesgo.

El proceso requiere que se detecten amenazas dentro de ciertas areas y realizar mediciones que permitan cuantificar el riesgo en ellas.

AWS regularmente escanea todos las vulnerabilidades de las terminales finales (IP). Y notifica las partes que requieran remediar dichas vulnerabilidades. Además, con cierta perioricidad algunas compañías de seguridad independientes realizan detecciones.

Estos procedimientos no reemplazan las medidas de seguridad requeridas por el usuario, quien debe realizarlas paulatinamente según sus criterios y políticas de seguridad.

Los usuarios pueden solicitar permiso para realizar escaneos de su propia infraestructura AWS, siempre y cuando esta se limite a sus propias instancias y no viole la política de uso.

¿Cuáles son las normas que cumple AWS?

  • SOC1 /SSAE16ISAE 3402 (formerly SAS 70 Type II)
  • SOC2
  • SOC3
  • FISMA, DIACAP and FedRAMP
  • PCI DSS Level 1

Algunos estandares específicos de la industria

  • HIPAA
  • Cloud Security Alliance (CSA)
  • Motion Picture Association of America (MPAA)