馃敟 PILAR 1 (SEGURIDAD EN AWS)

Pilar 1 (Seguridad en AWS)

驴Cu谩les son los objetivos del Pilar 1 - Seguridad de AWS?

  • Aplicar seguridad en todos los niveles.
  • Habilitar trazabilidad (traceability).
  • Automatizar respuestas para proporcionar seguridad a los eventos.
  • Enfocarse en la seguridad del sistema.
  • Automatizar las practicas de mejoras de seguridad.

驴Cu谩les son las 谩reas de seguridad en la nube?

  • Protecci贸n de los datos.
  • Manejo de privilegios.
  • Protecci贸n de la infraestructura.
  • Controles de detecci贸n.

驴C贸mo se protegen los datos en AWS?

  • Debe existir una clasificaci贸n de datos.
  • Organice y clasifique los datos en segmentos como:
    • P煤blicos.
    • Disponibles solo a miembros de su organizaci贸n.
    • Disponibles solo a ciertos miembros de su organizaci贸n.
    • Disponibles solo a la junta (board).
  • Implemente privilegios de acceso de tal forma que las personas solo puedan acceder a lo que necesitan.
  • Encriptar todo en donde sea posible, as铆 sean datos en reposo o en transito.

驴Cu谩les son las practicas que se deben llevar acabo para proteger los datos?

  • Los clientes de AWS mantienen control total de sus datos.
  • AWS hace sencillo el mantener las pol铆ticas de rotaci贸n de credenciales.
  • Un registro con detalles como archivos accedidos y modificaciones esta disponible.
  • Los sistemas de almacenamiento de AWS est谩n dise帽ados para proveer resilencia excepcional.
  • El versionado puede formar parte del ciclo de vida del procesamiento de los datos, puede proteger los datos de ser eliminados o sobreescritos de forma accidental.
  • AWS nunca realiza por si mismo transferencia de datos entre regiones.

驴C贸mo verificar si se est谩n protegiendo los datos de forma correcta?

Para verificar si el manejo de datos se hace de forma correcta, debes hacerte las siguientes preguntas.

  • Como esta encriptando y protegiendo los datos en reposo?
  • Como esta encriptando y protegiendo los datos en transito?

驴C贸mo se deben manejar los privilegios de los usuarios?

Solo los usuarios autorizados e autenticados puedan acceder los recursos.

  • Control de acceso basado en listas (Access Control Lists ACL’s).
  • Control de acceso basado en roles.
  • Administraci贸n de contrase帽as (como pol铆ticas de rotaci贸n de contrase帽as).

驴Cu谩les son las preguntas para verificar si el manejo de privilegios es correcto?

  • Como esta protegiendo el acceso y uso de las credenciales del root de AWS?.
  • Como esta definiendo los roles y responsabilidades de usuarios del sistema para controlar el acceso humano a la consola de AWS?.
  • Como esta limitando el acceso autom谩tico de apps, scripts, etc, a los recursos del sistema?.
  • Como se est谩n manejando llaves y credenciales.

Protecci贸n de la infraestructura

Fuera de la nube

  • Como se protegen los datos en el data center.
  • Controles del RFID.
  • Seguridad.
  • Gabinetes con candado.
  • CCTV (closed-circuit television).

Preguntas sobre la protecci贸n de la infraestructura

Como se esta forzando a la red a nivel del host.
Se est谩n utilizando security groups (grupos de seguridad) o tambi茅n ACL’s (listas de control de acceso)?
Se est谩n usando subredes publicas y privadas?
Se esta utilizando en las instancias de ec2 solo el usuario ec2-user o m煤ltiples?
Tienes instancias ec2 desplegadas solo en subredes publicas o tambi茅n en redes privadas.
Como se esta forzando la protecci贸n de los servicios AWS?
Se tienen m煤ltiples usuarios que pueden hacer uso de la consola?.
Se tienen muchos grupos configurados?
Se tiene MFA habilitado para estos usuarios?
Se tiene una pol铆tica de rotaci贸n de contrase帽as?
Como se esta protegiendo la integridad del sistema operativo en las instancias de EC2?
Se tiene alg煤n antivirus instalado?

Controles de Detecci贸n

Se pueden utilizar controles de detecci贸n para detectar o identificar un incumplimiento de seguridad. Algunos de los servicios de AWS que permiten esto son:

  • AWS CloudTrail.
  • Amazon CloudWatch.
  • AWS Config.
  • Amazon S3.
  • Amazon Glacier.

Preguntas sobre controles de detecci贸n

Como se est谩n capturando y analizando los logs de AWS?
Cloud Trail esta activado?.
Cloud Trail se encuentra en cada grupo y regi贸n en la que se esta operando?.

Servicios clave

Protecci贸n de Datos
Se pueden encriptar los datos en reposo y transito utilizando ELB, EBS, S3 y RDS.
Manejo de privilegios
IAM, MFA.
Protecci贸n de la infraestructura
.
VPC
Como se ha configurado el VPC?.
Se est谩n utilizando security groups personalizados?.
Se han cerrado puertos particulares en grupos de seguridad y direcciones IP?.
Se est谩n utilizando ACL’s (Network Access Control Lists)?.
Controles de Detecci贸n.
CloudTrail, AWS Config, CloudWatch.