En este test de autoevaluación nos centraremos en evaluar la seguridad de tu organización en el Cloud y en particular en Amazon Web Service, líder mundial en la provisión de servicios Cloud.
Una vez completado el test podrás enviarlo a nuestro equipo para recibir un informe detallado de tus resultados.
¿Cuenta tu organización con áreas de responsabilidad enfocadas al gobierno y administración de servicios en el Cloud y en particular en Amazon Web Service?
¿Cuenta tu organización con especialistas en Amazon Web Service?
Responsabilidad de AWS en relación con la seguridad de la nube. AWS es responsable de proteger la infraestructura que ejecuta todos los servicios provistos en la nube de AWS. Esta infraestructura está conformada por el hardware, el software, las redes y las instalaciones que ejecutan los servicios de la nube de AWS.
Responsabilidad del cliente en relación con la seguridad en la nube. La responsabilidad del cliente estará determinada por los servicios de la nube de AWS que el cliente seleccione. Esto determina el alcance del trabajo de configuración a cargo del cliente como parte de sus responsabilidades de seguridad. Por ejemplo, un servicio como Amazon Elastic Compute Cloud (Amazon EC2) se clasifica como Infraestructura como servicio (IaaS) y, como tal, requiere que el cliente realice todas las tareas de administración y configuración de seguridad necesarias.
¿Conocías esta diferencia entre seguridad de la nube y seguridad en la nube?
Una vez que un cliente entiende el modelo de responsabilidad compartida de AWS y cómo se aplica en general a la operación en la nube, debe determinar cómo se aplica a su caso de uso. La responsabilidad del cliente varía en función de muchos factores, como los servicios de AWS y las regiones que elija, la integración de dichos servicios en su entorno de TI y las leyes y normativas aplicables a su organización y carga de trabajo.
Para facilitar a los clientes la correcta ejecución de buenas prácticas de seguridad y cumplimiento de normativas concretas, AWS pone a disposición de sus clientes numerosos servicios de propósito específico especialmente ideados para cubrir necesidades concretas en este ámbito.
¿Cuenta tu organización con especialistas o subcontratas este tipo de conocimiento?
Amazon Web Services ofrece múltiples opciones para el gobierno de identidades y los potenciales permisos que dichas identidades pueden llegar a obtener. A continuación, se detallan los principales servicios dentro de esta categoría y los casos de uso que cubren:
AWS Identity & Access Management (IAM) es el principal servicio de gestión de identidades que utilizarán la inmensa mayoría de usuarios de AWS, ya que es aquí donde se gestionan los distintos usuarios, grupos, roles y políticas de permisos requeridos para la correcta operación y funcionamiento de los recursos de infraestructura.
¿Cuenta tu organización con una Gestión de identidades correctamente implementada a través del servicio IAM y la definición de usuarios, grupos, roles y políticas?
AWS proporciona numerosas políticas de seguridad predefinidas para facilitar la implementación de políticas de otorgación de permisos mínimos. Todas estas políticas se actualizan periódicamente para dar soporte a las nuevas APIs y servicios. Las políticas de seguridad predefinidas se agrupan en 2 categorías:
¿Tiene tu organización implementada este tipo de políticas?
¿Utilizas Amazon Cognito para la implementación de mecanismos de autenticación, autorización y administración de usuarios desde distintos sistemas corporativos o externos?
La implementación y correcta configuración del conocido como Directorio activo (Active Directory) es esencial en organización que desean profesionalizar su actividad y cuenta con un número de empleados razonable.
Amazon permite integrar el servicio AWS Directory Service para facilitar la implementación de servicios de directorio y puntos de enlace para la integración con servicios de AWS.
¿Tiene tu organización implementado este servicio u otro alternativo?
Dada la naturaleza flexible de este tipo de entornos, Amazon proporciona a los clientes finales diversos servicios para facilitar las labores de detección y notificación de hallazgos de seguridad.
AWS Cloudtrail es el servicio de auditoría de APIs y actividad de usuarios AWS. De forma gratuita permite realizar búsquedas simples en el registro de los últimos 90 días. Con pago adicional, Cloudtrail permite la integración con organizaciones multi-cuenta, exportación de datos a S3 o la integración con Cloudwatch Insights para la realización de análisis complejos.
El control de cambios aplicados a la configuración de recursos de infraestructura es un aspecto clave para la trazabilidad de los sistemas de información y contar con un entorno cuyo histórico nos brinda una cantidad enorme de conocimiento.
AWS Config es el servicio de auditoría de control de cambios y evaluación continua de la configuración de recursos de infraestructura. Este servicio habilita la implementación de múltiples funcionalidades de control como, por ejemplo:
Config se integra con otros servicios más avanzados como SecurityHub o AWS Organizations para ayudar en la gobernabilidad, monitorización e implementación de políticas y estándares de seguridad.
Contar con un vigilante siempre aporta una mayor confianza.
Amazon GuardDuty es un servicio de detección de amenazas que monitoriza de manera continua las cargas de trabajo en AWS para detectar actividades maliciosas y envía hallazgos detallados de seguridad para su visibilidad y resolución. GuardDuty analiza de forma continua la información generada por AWS Cloudtrail logs, registros de flujo de VPC y logs de acceso de DNS; toda esta información se correlaciona y evalúa para emitir hallazgos de diversas categorías: Desde consultas DNS a dominios sospechosos hasta eventos de actividad del usuario raíz de la cuenta.
El equipo humano de IT necesita apoyarse en herramientas automatizadas que realicen análisis diarios y periódicos de manera continuada para descubrir posibles anomalías y vulnerabilidades de las aplicaciones desplegadas en AWS.
Amazon Inspector es el servicio de análisis de vulnerabiblidad de aplicaciones de AWS. Gracias a su integración con el servicio de administración de servidores AWS Systems Manager, Inspector permite auto descubrir las instancias EC2 de su cuenta y ejecutar sobre ellas análisis de vulnerabilidades cuyos resultados se pueden consultar fácilmente desde la consola o programáticamente.
Inspector también permite realizar análisis de seguridad sobre imágenes Docker alojadas en Elastic Container Registry. Cada vez que se suba una nueva imagen, esta es analizada automáticamente por Inspector para recopilar los problemas de seguridad conocidos y vulnerabilidades pendientes de corrección.
Es 15 de mes y corresponde revisar el parcheado de seguridad de todos los equipos de la organización.
Systems Manager Patch Manager proporciona un sistema de administración centralizada para la detección y aplicación de parches sobre una flota de instancias Windows y Linux de Amazon EC2 o servidores OnPremise.
Todos los servicios sobre los que estamos evaluando su implementación, en su conjunto definen el conocido término de “postura de seguridad” que permite conocer a nivel global cuál es la posición y estrategia de la organización en materia de seguridad Cloud.
AWS Security Hub es un servicio para la administración de su postura de seguridad en la nube.
Realiza comprobaciones de las prácticas recomendadas de seguridad, agrega alertas y permite la corrección automática.
Para ello, SecurityHub se integra con las siguientes fuentes de datos:
SecurityHub proporciona también conjuntos de evaluaciones de AWS Config para validar el cumplimiento de diversos estándares de seguridad con el fin de disponer de un informe actualizado del estado de su infraestructura.
Comunicaciones, redes, puertas traseras ... un desafío que salvaguardar.
Aunque AWS proporciona diversas herramientas de propósito específico para la protección de cargas de trabajo, siempre es recomendable hacer un correcto diseño de redes privadas con AWS Virtual Private Cloud (VPC). Por defecto, todas las cuentas de AWS implementan una VPC por defecto que cuenta con tantas subredes públicas como zonas de disponibilidad disponga la región donde se hospede. Esto significa que cualquier instancia EC2 o servicio con integración para VPC obtendrá automáticamente una IP pública y acceso a Internet sin restricciones, lo que puede derivar en una superficie de ataque elevada si no se tiene el debido cuidado a la hora de configurar los grupos de seguridad que conforman el firewall dentro del ecosistema de VPC.
La recomendación es siempre realizar una implementación de redes privadas en la que existan subredes públicas (donde se hospedarán servicios e instancias EC2 expuestas al tráfico externo proveniente de Internet) y subredes internas, donde el acceso externo no sea posible y el acceso a Internet desde dichas subredes requiera del uso de la pasarela correspondiente de alguna subred pública. AWS proporciona todo tipo de herramientas para la correcta implementación de este tipo de diseños de red.
¿Tiene tu organización implementado al menos uno de estos tipos de servicio o mecanismo otro alternativo? Selecciona los que correspondan:
El dato, la piedra filosofal sobre la que almacena todo el valor de organización, operaciones, financiero, etc.
¿Cuenta tu organización con unas políticas y mecanismos particulares, así como responsables para responder ante el gobierno del dato y su salvaguarda?
Todos los servicios gestionados de AWS ofrecen opciones para el encriptado de datos, tanto en tránsito como en reposo. Es responsabilidad de los usuarios el hacer un correcto uso de estas funcionalidades en caso de que lo consideren necesario.
Para una correcta gestión de claves de encriptación, AWS pone a disposición de los usuarios el servicio AWS Key Management Service (KMS), el cual se integra con prácticamente todos los servicios de almacenamiento de AWS. Con este servicio, los usuarios tienen la posibilidad de controlar mediante políticas de baja granularidad qué usuarios, cuentas o servicios AWS tienen el acceso necesario a las claves de encriptación necesarias para la recuperación o encriptación de datos en los distintos servicios de almacenamiento de AWS.
Para aquellas organizaciones que tengan requisitos elevados de cumplimiento de normativa, AWS permite la disposición de appliances hardware de propósito específico para el almacenamiento y custodia de claves de encriptación a través de su servicio AWS CloudHSM.
Este servicio no está tan integrado con servicios de almacenamiento de AWS y está más orientado a su uso por parte de aplicaciones para la realización de operaciones de encriptado en el lado cliente, antes de que el dato se deposite en el servicio de almacenamiento correspondiente.
AWS Certificate Manager es un servicio gestionado para la emisión y distribución de certificados.
Se ofrecen tanto certificados emitidos por la CA pública de AWS como la provisión de entidades de certificación privadas.
Con los certificados emitidos por la entidad certificadora pública de Amazon se habilita la posibilidad de utilizar certificados SSL con dominio personalizado en Cloudfront y Elastic Load Balancer sin coste adicional. El servicio ser encarga de instalar automáticamente el certificado en los recursos que se solicite y realizará la rotación de este de forma automática cuando el vencimiento del certificado esté próximo.
Las entidades de certificación privadas tienen como caso de uso principal la emisión de certificados de autenticación para usuarios y dispositivos; sin embargo, gracias a este servicio la carga de operar y mantener este tipo de infraestructura queda minimizada y basta con consumir el servicio cuando se necesite.
AWS Secrets Manager es un servicio especialmente diseñado para el almacenamiento, distribución, auditoría y rotación de secretos para aplicaciones tales como credenciales de bases de datos o APIs de terceros. Tiene una fuerte integración con el servicio de bases de datos Amazon RDS, Redshift y DocumentDB, así como con el servicio de orquestación de contenedores Elastic Container Service.
Enhorabuena por completar el cuestionario
Rellena tus datos para recibir un correo con tus resultados
Time's up