🥇 Pilar 1 (Seguridad)

🍿 Cuáles son los objetivos del Pilar 1 - Seguridad de AWS?

• Aplicar seguridad en todos los niveles.
• Habilitar trazabilidad (traceability).
• Automatizar respuestas para proporcionar seguridad a los eventos.
• Enfocarse en la seguridad del sistema.
• Automatizar las practicas de mejoras de seguridad.

🍿 Cuáles son las áreas de seguridad en la nube?

• Protección de los datos.
• Manejo de privilegios.
• Protección de la infraestructura.
• Controles de detección.

🍿 Cómo se protegen los datos en AWS?

• Debe existir una clasificación de datos.
• Organice y clasifique los datos en segmentos como:
  • Publicos.
  • Disponibles solo a miembros de su organización.
  • Disponibles solo a ciertos miembros de su organización.
  • Disponibles solo a la junta (board).
• Implemente privilegios de acceso de tal forma que las personas solo puedan accesar a lo que necesitan.
• Encriptar todo en donde sea posible, asi sean datos en reposo o en transito.

🍿 Cuáles son las practicas que se deben llevar acabo para proteger los datos?

• Los clientes de AWS mantienen control total de sus datos.
• AWS hace sencillo el mantener las politicas de rotación de credenciales.
• Un registro con detalles como archivos accesados y modificaciones esta disponible.
• Los sistemas de almacenamiento de AWS están diseñados para proveer resilencia excepcional.
• El versionado puede formar parte del ciclo de vida del procesamiento de los datos, puede proteger los datos de ser eliminados o sobreescritos de forma accidental.
• AWS nunca realiza por si mismo transferencia de datos entre regiones.

🍿 Cómo verificar si se estan protegiendo los datos de forma correcta?

Para verificar si el manejo de datos se hace de forma correcta, debes hacerte las siguientes preguntas.

• Como esta encriptando y protegiendo los datos en reposo?
• Como esta encriptando y protegiendo los datos en transito?

🍿 Cómo se deben manejar los privilegios de los usuarios?

Solo los usuarios autorizados e autenticados puedan acceder los recursos.

• Control de acceso basado en listas (Access Control Lists ACL’s).
• Control de acceso basado en roles.
• Administración de contraseñas (como politicas de rotación de contraseñas).

🍿 Cuáles son las preguntas para verificar si el manejo de privilegios es correcto?

• Como esta protegiendo el acceso y uso de las credenciales del root de AWS?.
• Como esta definiendo los roles y responsabilidades de usuarios del sistema para controlar el acceso humano a la consola de AWS?.
• Como esta limitando el acceso automático de apps, scripts, etc, a los recursos del sistema?.
• Como se estan manejando llaves y credenciales.

🍿 Protección de la infraestructura

🥤 Fuera de la nube

• Como se protegen los datos en el data center.
• Controles del RFID.
• Seguridad.
• Gabinetes con candado.
• CCTV (closed-circuit television).

🥤 Preguntas sobre la protección de la infraestructura

Como se esta forzando a la red a nivel del host.

Se estan utilizando security groups (grupos de seguridad) o tambien ACL’s (listas de control de accceso)?

Se estan usando subredes publicas y privadas?

Se esta utilizando en las instancias de ec2 solo el usuario ec2-user o multiples?

Tienes instancias ec2 desplegadas solo en subredes publias o tambien en redes privadas.

Como se esta forzando la proteccion de los servicios AWS?

Se tienen multiples usuarios que pueden hacer uso de la consola?.

Se tienen muchos grupos configurados?

Se tiene MFA habilitado para estos usuarios?

Se tiene una política de rotación de contraseñas?

Como se esta protegiendo la integridad del sistema operativo en las instancias de EC2?

Se tiene algun antivirus instalado?

🥤 Controles de Detección

Se pueden utilizar controles de detección para detectar o identificar un incumplimiento de seguridad. Algunos de los servicios de AWS que permiten esto son:

• AWS CloudTrail.
• Amazon CloudWatch.
• AWS Config.
• Amazon S3.
• Amazon Glacier.

🥤 Preguntas sobre controles de detección

• Como se estan capturando y analizando los logs de AWS?
  • Cloud Trail esta activado?.
  • Cloud Trail se encuentra en cada grupo y region en la que se esta operando?.

🥤 Servicios clave

• Protección de Datos.
  • Se pueden encriptar los datos en reposo y transito utilizando ELB, EBS, S3 y RDS.
• Manejo de privilegios.
  • IAM, MFA.
• Protección de la infraestructura.
• VPC.
  • Como se ha configurado el VPC?.
  • Se estan utilizando security groups personalizados?.
  • Se han cerrado puertos particulares en grupos de seguridad y direcciones IP?.
  • Se estan utilizando ACL’s (Network Access Control Lists)?.
• Controles de Detección.
  • CloudTrail, AWS Config, CloudWatch.