🥇 Pilar 1 (Seguridad)
🍿 ¿Cuáles son los objetivos del Pilar 1 - Seguridad de AWS?
- Aplicar seguridad en todos los niveles.
- Habilitar trazabilidad (traceability).
- Automatizar respuestas para proporcionar seguridad a los eventos.
- Enfocarse en la seguridad del sistema.
- Automatizar las practicas de mejoras de seguridad.
🍿 ¿Cuáles son las áreas de seguridad en la nube?
- Protección de los datos.
- Manejo de privilegios.
- Protección de la infraestructura.
- Controles de detección.
🍿 ¿Cómo se protegen los datos en AWS?
- Debe existir una clasificación de datos.
- Organice y clasifique los datos en segmentos como:
- Públicos.
- Disponibles solo a miembros de su organización.
- Disponibles solo a ciertos miembros de su organización.
- Disponibles solo a la junta (board).
- Implemente privilegios de acceso de tal forma que las personas solo puedan accesar a lo que necesitan.
- Encriptar todo en donde sea posible, así sean datos en reposo o en transito.
🍿 ¿Cuáles son las practicas que se deben llevar acabo para proteger los datos?
- Los clientes de AWS mantienen control total de sus datos.
- AWS hace sencillo el mantener las políticas de rotación de credenciales.
- Un registro con detalles como archivos accesados y modificaciones esta disponible.
- Los sistemas de almacenamiento de AWS están diseñados para proveer resilencia excepcional.
- El versionado puede formar parte del ciclo de vida del procesamiento de los datos, puede proteger los datos de ser eliminados o sobreescritos de forma accidental.
- AWS nunca realiza por si mismo transferencia de datos entre regiones.
🍿 ¿Cómo verificar si se están protegiendo los datos de forma correcta?
Para verificar si el manejo de datos se hace de forma correcta, debes hacerte las siguientes preguntas.
- Como esta encriptando y protegiendo los datos en reposo?
- Como esta encriptando y protegiendo los datos en transito?
🍿 ¿Cómo se deben manejar los privilegios de los usuarios?
Solo los usuarios autorizados e autenticados puedan acceder los recursos.
- Control de acceso basado en listas (Access Control Lists ACL’s).
- Control de acceso basado en roles.
- Administración de contraseñas (como políticas de rotación de contraseñas).
🍿 ¿Cuáles son las preguntas para verificar si el manejo de privilegios es correcto?
- Como esta protegiendo el acceso y uso de las credenciales del root de AWS?.
- Como esta definiendo los roles y responsabilidades de usuarios del sistema para controlar el acceso humano a la consola de AWS?.
- Como esta limitando el acceso automático de apps, scripts, etc, a los recursos del sistema?.
- Como se están manejando llaves y credenciales.
🍿 Protección de la infraestructura
🥤 Fuera de la nube
- Como se protegen los datos en el data center.
- Controles del RFID.
- Seguridad.
- Gabinetes con candado.
- CCTV (closed-circuit television).
🥤 Preguntas sobre la protección de la infraestructura
- Como se esta forzando a la red a nivel del host.
- Se están utilizando security groups (grupos de seguridad) o también ACL’s (listas de control de acceso)?
- Se están usando subredes publicas y privadas?
- Se esta utilizando en las instancias de ec2 solo el usuario ec2-user o múltiples?
- Tienes instancias ec2 desplegadas solo en subredes publicas o también en redes privadas.
- Como se esta forzando la protección de los servicios AWS?
- Se tienen múltiples usuarios que pueden hacer uso de la consola?.
- Se tienen muchos grupos configurados?
- Se tiene MFA habilitado para estos usuarios?
- Se tiene una política de rotación de contraseñas?
- Como se esta protegiendo la integridad del sistema operativo en las instancias de EC2?
- Se tiene algún antivirus instalado?
🥤 Controles de Detección
Se pueden utilizar controles de detección para detectar o identificar un incumplimiento de seguridad. Algunos de los servicios de AWS que permiten esto son:
- AWS CloudTrail.
- Amazon CloudWatch.
- AWS Config.
- Amazon S3.
- Amazon Glacier.
🥤 Preguntas sobre controles de detección
- Como se están capturando y analizando los logs de AWS?
- Cloud Trail esta activado?.
- Cloud Trail se encuentra en cada grupo y región en la que se esta operando?.
🥤 Servicios clave
- Protección de Datos
- Se pueden encriptar los datos en reposo y transito utilizando ELB, EBS, S3 y RDS.
- Manejo de privilegios
- IAM, MFA.
- Protección de la infraestructura
- .
- VPC
- Como se ha configurado el VPC?.
- Se están utilizando security groups personalizados?.
- Se han cerrado puertos particulares en grupos de seguridad y direcciones IP?.
- Se están utilizando ACL’s (Network Access Control Lists)?.
- Controles de Detección.
- CloudTrail, AWS Config, CloudWatch.