Pilar 1 (Seguridad en AWS)

Pilar 1 (Seguridad en AWS)

¿Cuáles son los objetivos del Pilar 1 - Seguridad de AWS?

  • Aplicar seguridad en todos los niveles.
  • Habilitar trazabilidad (traceability).
  • Automatizar respuestas para proporcionar seguridad a los eventos.
  • Enfocarse en la seguridad del sistema.
  • Automatizar las practicas de mejoras de seguridad.

¿Cuáles son las áreas de seguridad en la nube?

  • Protección de los datos.
  • Manejo de privilegios.
  • Protección de la infraestructura.
  • Controles de detección.

¿Cómo se protegen los datos en AWS?

  • Debe existir una clasificación de datos.
  • Organice y clasifique los datos en segmentos como:
    • Públicos.
    • Disponibles solo a miembros de su organización.
    • Disponibles solo a ciertos miembros de su organización.
    • Disponibles solo a la junta (board).
  • Implemente privilegios de acceso de tal forma que las personas solo puedan acceder a lo que necesitan.
  • Encriptar todo en donde sea posible, así sean datos en reposo o en transito.

¿Cuáles son las practicas que se deben llevar acabo para proteger los datos?

  • Los clientes de AWS mantienen control total de sus datos.
  • AWS hace sencillo el mantener las políticas de rotación de credenciales.
  • Un registro con detalles como archivos accedidos y modificaciones esta disponible.
  • Los sistemas de almacenamiento de AWS están diseñados para proveer resilencia excepcional.
  • El versionado puede formar parte del ciclo de vida del procesamiento de los datos, puede proteger los datos de ser eliminados o sobreescritos de forma accidental.
  • AWS nunca realiza por si mismo transferencia de datos entre regiones.

¿Cómo verificar si se están protegiendo los datos de forma correcta?

Para verificar si el manejo de datos se hace de forma correcta, debes hacerte las siguientes preguntas.

  • Como esta encriptando y protegiendo los datos en reposo?
  • Como esta encriptando y protegiendo los datos en transito?

¿Cómo se deben manejar los privilegios de los usuarios?

Solo los usuarios autorizados e autenticados puedan acceder los recursos.

  • Control de acceso basado en listas (Access Control Lists ACL’s).
  • Control de acceso basado en roles.
  • Administración de contraseñas (como políticas de rotación de contraseñas).

¿Cuáles son las preguntas para verificar si el manejo de privilegios es correcto?

  • Como esta protegiendo el acceso y uso de las credenciales del root de AWS?.
  • Como esta definiendo los roles y responsabilidades de usuarios del sistema para controlar el acceso humano a la consola de AWS?.
  • Como esta limitando el acceso automático de apps, scripts, etc, a los recursos del sistema?.
  • Como se están manejando llaves y credenciales.

Protección de la infraestructura

Fuera de la nube

  • Como se protegen los datos en el data center.
  • Controles del RFID.
  • Seguridad.
  • Gabinetes con candado.
  • CCTV (closed-circuit television).

Preguntas sobre la protección de la infraestructura

Como se esta forzando a la red a nivel del host.
Se están utilizando security groups (grupos de seguridad) o también ACL’s (listas de control de acceso)?
Se están usando subredes publicas y privadas?
Se esta utilizando en las instancias de ec2 solo el usuario ec2-user o múltiples?
Tienes instancias ec2 desplegadas solo en subredes publicas o también en redes privadas.
Como se esta forzando la protección de los servicios AWS?
Se tienen múltiples usuarios que pueden hacer uso de la consola?.
Se tienen muchos grupos configurados?
Se tiene MFA habilitado para estos usuarios?
Se tiene una política de rotación de contraseñas?
Como se esta protegiendo la integridad del sistema operativo en las instancias de EC2?
Se tiene algún antivirus instalado?

Controles de Detección

Se pueden utilizar controles de detección para detectar o identificar un incumplimiento de seguridad. Algunos de los servicios de AWS que permiten esto son:

  • AWS CloudTrail.
  • Amazon CloudWatch.
  • AWS Config.
  • Amazon S3.
  • Amazon Glacier.

Preguntas sobre controles de detección

Como se están capturando y analizando los logs de AWS?
Cloud Trail esta activado?.
Cloud Trail se encuentra en cada grupo y región en la que se esta operando?.

Servicios clave

Protección de Datos
Se pueden encriptar los datos en reposo y transito utilizando ELB, EBS, S3 y RDS.
Manejo de privilegios
IAM, MFA.
Protección de la infraestructura
.
VPC
Como se ha configurado el VPC?.
Se están utilizando security groups personalizados?.
Se han cerrado puertos particulares en grupos de seguridad y direcciones IP?.
Se están utilizando ACL’s (Network Access Control Lists)?.
Controles de Detección.
CloudTrail, AWS Config, CloudWatch.