Bogotá
Seguridad en la nube AWS
Henry Alvarado
Arquitecto de soluciones
Amazon Web Services
La seguridad es el paso cero
La seguridad es el paso cero
Network
Security
Physical
Security
Platform
Security
People &
Procedures
La seguridad es compartida
Todo se construye bajo una base de mejora constante en
seguridad
AWS Foundation Services
Compute Storage Database Networki...
AWS Foundation Services
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability Zones
Edge Loca...
La seguridad es familiar
La seguridad es familiar
• Nos esforzamos por mantener la seguridad en
AWS tan familiar para usted como lo es hoy en
día
–...
Visibilidad
Visibilidad
Qué tan frecuentemente usted realiza un mapeo de su
red?
Cómo es su ambiente
En este momento?
La seguridad es Visible
• Quién está accediendo los recursos?
• Quién realizó alguna acción?
– Cuando?
– Desde donde?
– Qu...
Usted realiza
llamadas a la
API…
En un creciente
conjunto de
servicios a nivel
mundial
AWS CloudTrail está
continuamente
g...
Casos de uso habilitados por CloudTrail
• Análisis de seguridad
 Use archivos de log como datos de entrada para solucione...
CloudTrail Regional Availability
Auditable
AWS Config
AWS Config es un servicio completamente
administrado que le permite tener un
inventario de sus recursos AWS, pe...
Continuous ChangeRecordingChanging
Resources
AWS Config
History
Stream
Snapshot (ex. 2014-11-05)
AWS Config
Casos de uso que AWS Config permite
• Análisis de seguridad: Estoy seguro?
• Auditoría de conformidad: Donde está la
evide...
Mi ambiente está seguro?
• Recursos correctamente
configurados son críticos para la
seguridad
• Config permite que usted
m...
Donde está la evidencia?
• Muchas auditorías de conformidad
requieren acceso al estado de sus
sistemas en un momento
deter...
Cual es el efecto de este cambio?
• Cuando sus recursos son
creados, modificados o
eliminados, estos cambios de
configurac...
Qué cambió?
• Es crítico poder ser capaces de
responder rápidamente “Qué
cambió?”
• Usted puede rápidamente
identificar un...
Control
Seguridad de primera clase y comienzo de
conformidades (pero no final!) con cifrado
Cifrado automático con llaves administ...
Mejores prácticas y cifrado con AWS
Llaves de cifrado administradas
Almacenamiento de llaves con AWS CloudHSM
Llaves de ci...
AWS Key Management Service
• Es un servicio administrado que le permite fácilmente
crear, controlar y usar sus llaves de c...
AWS Key Management Service
Integrado con la consola AWS IAM
AWS Key Management Service
Integrado con Amazon EBS
AWS Key Management Service
Integrado con Amazon S3
AWS Key Management Service
Integrado con Amazon Redshift
Agilidad
Cómo AWS practica la seguridad?
La práctica de seguridad en AWS es
diferente, pero el resultado es familiar:
Entonces, cómo está compuesto su equipo
de se...
Nuestra cultura:
Todos somos dueños
Cuando el problema es “mío” en vez de
“suyo”, hay más chances de que yo haga lo
correc...
Mida constantemente, reporte
regularmente y mantenga los ejecutivos
responsables por la seguridad – hace
que ellos dirijan...
Nuestra cultura:
Mida, mida y mida
• Métricas cada 5 min es baja precisión
• Métricas cada 1 min son escasamente OK
Nuestra cultura:
Decir “no” es una falla
Nuestra cultura:
Ponga más esfuerzo en el “por qué” en vez que
en el “como”
Por qué esto realmente importa?
Cuando algo sa...
Nuestra cultura:
Descentralice – no sea un cuello de botella
Es la naturaleza humana rodear cuellos de
botella
Nuestra cultura:
Cree servicios que otros puedan consumir a
través de APIs robustas
Nuestra cultura:
Pruebe, Constantemente
• Dentro/Fuera
• Privilegiado/No privilegiado
• Black-box/white-box
• Proveedor/co...
Nuestra cultura:
El monitoreo proactivo arregla su día
• Qué es “normal” en su ambiente?
• Saber CUANDO pasó algo malo
Nuestra cultura:
Colecte, digiera, desmenuce y use inteligencia
Nuestra cultura:
Haga su equipo de conformidad parte de las
operaciones de seguridad
Nuestra cultura:
Base sus decisiones en hechos, métricas y
entendimiento detallado de su ambiente y sus
adversarios
Controles de seguridad simples
Fácil hacerlo bien
Fácil de auditar
Fácil de hacer cumplir
De Esto
A esto
Reducción continua de áreas
expuestas
Reducción continua del acceso
potencial humano
Cifrado ubicuo
Separación aún más granular
Seguridad es el trabajo cero
Usted va a estar mejor protegido en AWS de lo que
usted está en su propio ambiente
– “Based o...
Security that fits
AWS Summit Bogotá
Juan Nieves
Sales Engineer
La seguridad es una
Responsabilidad Compartida
La nube AWS
Foundation Services
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability Zones
Edge Location...
Foundation Services
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability Zones
Edge Location...
Caso de Éxito
Desafios
PCI e Compliance
 Proteger las
vulnerabilidades(IDS/IPS)
 Gestión Simplificada y Centralizada de
Controles de S...
Muchas
Gracias!
AWS Summits América Latina 2015- Seguridad en AWS
AWS Summits América Latina 2015- Seguridad en AWS
AWS Summits América Latina 2015- Seguridad en AWS
AWS Summits América Latina 2015- Seguridad en AWS
Próxima SlideShare
Cargando en…5
×

AWS Summits América Latina 2015- Seguridad en AWS

372 visualizaciones

Publicado el

Publicado en: Tecnología
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
372
En SlideShare
0
De insertados
0
Número de insertados
4
Acciones
Compartido
0
Descargas
18
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

AWS Summits América Latina 2015- Seguridad en AWS

  1. 1. Bogotá
  2. 2. Seguridad en la nube AWS Henry Alvarado Arquitecto de soluciones Amazon Web Services
  3. 3. La seguridad es el paso cero
  4. 4. La seguridad es el paso cero Network Security Physical Security Platform Security People & Procedures
  5. 5. La seguridad es compartida
  6. 6. Todo se construye bajo una base de mejora constante en seguridad AWS Foundation Services Compute Storage Database Networking AWS Global Infrastructure Regions Availability Zones Edge Locations AWS es responsable por la seguridad DE La nube GxP ISO 13485 AS9100 ISO/TS 16949
  7. 7. AWS Foundation Services Compute Storage Database Networking AWS Global Infrastructure Regions Availability Zones Edge Locations Client-side Data Encryption Server-side Data Encryption Network Traffic Protection Platform, Applications, Identity & Access Management Operating System, Network, & Firewall Configuration Customer applications & contentCustomers La seguridad y conformidad es una responsabilidad compartida Los clientes tienen la elección de las configuraciones de seguridad EN la nube AWS es responsable por la seguridad DE La nube
  8. 8. La seguridad es familiar
  9. 9. La seguridad es familiar • Nos esforzamos por mantener la seguridad en AWS tan familiar para usted como lo es hoy en día – Visibilidad – Auditable – Bajo control – Agilidad
  10. 10. Visibilidad
  11. 11. Visibilidad Qué tan frecuentemente usted realiza un mapeo de su red? Cómo es su ambiente En este momento?
  12. 12. La seguridad es Visible • Quién está accediendo los recursos? • Quién realizó alguna acción? – Cuando? – Desde donde? – Qué hizo? – Logs Logs Logs
  13. 13. Usted realiza llamadas a la API… En un creciente conjunto de servicios a nivel mundial AWS CloudTrail está continuamente grabando las llamadas a la API.. Y entregándole a usted archivos de log AWS CLOUDTRAIL Redshift AWS CloudFormation AWS Elastic Beanstalk
  14. 14. Casos de uso habilitados por CloudTrail • Análisis de seguridad  Use archivos de log como datos de entrada para soluciones de administración y análisis de logs para realizar análisis de seguridad y detección de patrones de usuario • Siga los cambios sobre recursos AWS  Realice seguimiento a la creación, modificación y eliminación de recursos AWS como instancias EC2, grupos de seguridad de Amazon VPC, volúmenes EBS, entre otros… • Solución de problemas operacionales  Identifique cuales fueron las últimas acciones realizadas sobre recursos en su cuenta AWS • Ayudas en conformidad  Facilidad para demostrar conformidad con políticas internas y estándares regulatorios
  15. 15. CloudTrail Regional Availability
  16. 16. Auditable
  17. 17. AWS Config AWS Config es un servicio completamente administrado que le permite tener un inventario de sus recursos AWS, permitiendo auditar la historia de configuraciones realizadas y notificarle cuando algún cambio es realizado.
  18. 18. Continuous ChangeRecordingChanging Resources AWS Config History Stream Snapshot (ex. 2014-11-05) AWS Config
  19. 19. Casos de uso que AWS Config permite • Análisis de seguridad: Estoy seguro? • Auditoría de conformidad: Donde está la evidencia? • Control de cambios: Cual es el efecto de un cambio? • Solución de problemas: Qué ha cambiado?
  20. 20. Mi ambiente está seguro? • Recursos correctamente configurados son críticos para la seguridad • Config permite que usted monitoree las configuraciones de sus recursos y evalúe de inmediato si éstas configuraciones son potenciales debilidades de seguridad
  21. 21. Donde está la evidencia? • Muchas auditorías de conformidad requieren acceso al estado de sus sistemas en un momento determinado (ej. PCI, HIPAA) • Un inventario completo de todos los recursos y sus respectiva configuraciones en cualquier momento en el tiempo
  22. 22. Cual es el efecto de este cambio? • Cuando sus recursos son creados, modificados o eliminados, estos cambios de configuración son transmitidos a Amazon SNS • Las relaciones entre recursos son claras, lo que permite proactivamente evaluar el impacto de un cambio.
  23. 23. Qué cambió? • Es crítico poder ser capaces de responder rápidamente “Qué cambió?” • Usted puede rápidamente identificar un cambio reciente en sus recursos usando la consola o construyendo integraciones personalizadas con los archivos de historia que son regularmente exportados
  24. 24. Control
  25. 25. Seguridad de primera clase y comienzo de conformidades (pero no final!) con cifrado Cifrado automático con llaves administradas Traiga sus propias llaves Módulos de seguridad en hardware dedicado
  26. 26. Mejores prácticas y cifrado con AWS Llaves de cifrado administradas Almacenamiento de llaves con AWS CloudHSM Llaves de cifrado proveídas por el cliente Crear, almacenar y obtener llaves de forma segura Rotación de llaves regularmente Auditoria del acceso a las llaves de forma segura
  27. 27. AWS Key Management Service • Es un servicio administrado que le permite fácilmente crear, controlar y usar sus llaves de cifrado • Integrado con los SDKs y servicios de AWS, incluyendo Amazon EBS, Amazon S3 y Amazon Redshift • Integrado con AWS CloudTrail para proveer logs auditables y ayudar con las actividades de regulación y conformidad.
  28. 28. AWS Key Management Service Integrado con la consola AWS IAM
  29. 29. AWS Key Management Service Integrado con Amazon EBS
  30. 30. AWS Key Management Service Integrado con Amazon S3
  31. 31. AWS Key Management Service Integrado con Amazon Redshift
  32. 32. Agilidad
  33. 33. Cómo AWS practica la seguridad?
  34. 34. La práctica de seguridad en AWS es diferente, pero el resultado es familiar: Entonces, cómo está compuesto su equipo de seguridad? • Operaciones • Ingeniería • Seguridad de Aplicaciones • Conformidad
  35. 35. Nuestra cultura: Todos somos dueños Cuando el problema es “mío” en vez de “suyo”, hay más chances de que yo haga lo correcto
  36. 36. Mida constantemente, reporte regularmente y mantenga los ejecutivos responsables por la seguridad – hace que ellos dirijan la cultura correcta Nuestra cultura:
  37. 37. Nuestra cultura: Mida, mida y mida • Métricas cada 5 min es baja precisión • Métricas cada 1 min son escasamente OK
  38. 38. Nuestra cultura: Decir “no” es una falla
  39. 39. Nuestra cultura: Ponga más esfuerzo en el “por qué” en vez que en el “como” Por qué esto realmente importa? Cuando algo salga mal, pregunte “cinco veces, por qué?”
  40. 40. Nuestra cultura: Descentralice – no sea un cuello de botella Es la naturaleza humana rodear cuellos de botella
  41. 41. Nuestra cultura: Cree servicios que otros puedan consumir a través de APIs robustas
  42. 42. Nuestra cultura: Pruebe, Constantemente • Dentro/Fuera • Privilegiado/No privilegiado • Black-box/white-box • Proveedor/construido en casa
  43. 43. Nuestra cultura: El monitoreo proactivo arregla su día • Qué es “normal” en su ambiente? • Saber CUANDO pasó algo malo
  44. 44. Nuestra cultura: Colecte, digiera, desmenuce y use inteligencia
  45. 45. Nuestra cultura: Haga su equipo de conformidad parte de las operaciones de seguridad
  46. 46. Nuestra cultura: Base sus decisiones en hechos, métricas y entendimiento detallado de su ambiente y sus adversarios
  47. 47. Controles de seguridad simples Fácil hacerlo bien Fácil de auditar Fácil de hacer cumplir
  48. 48. De Esto A esto
  49. 49. Reducción continua de áreas expuestas
  50. 50. Reducción continua del acceso potencial humano
  51. 51. Cifrado ubicuo
  52. 52. Separación aún más granular
  53. 53. Seguridad es el trabajo cero Usted va a estar mejor protegido en AWS de lo que usted está en su propio ambiente – “Based on our experience, I believe that we can be even more secure in the AWS cloud than in our own data centers.” -Tom Soderstrom, CTO, NASA JPL – Nearly 60% of organizations agreed that CSPs [cloud service providers] provide better security than their own IT organizations. Source: IDC 2013 U.S. Cloud Security Survey, doc #242836, September 2013
  54. 54. Security that fits AWS Summit Bogotá Juan Nieves Sales Engineer
  55. 55. La seguridad es una Responsabilidad Compartida La nube AWS
  56. 56. Foundation Services Compute Storage Database Networking AWS Global Infrastructure Regions Availability Zones Edge Locations Client-side Data Encryption & Data Integrity Authentication Server-side Encryption (File System and/or Data) Network Traffic Protection (Encryption/Integrity/Identity) Platform, Applications, Identity & Access Management Operating System, Network & Firewall Configuration Customer Data AmazonCliente • SOC I, II, III • ISO 27001/ 2 Certification • Payment Card Industry (PCI) • Data Security Standard (DSS) • FISMA Compliant Controls • DIACAP Compliant Controls • FedRAMP Compliant Controls • ITAR Compliant • HIPAA applications • FIPS • CSA • MPAA aws.amazon.com/compliance
  57. 57. Foundation Services Compute Storage Database Networking AWS Global Infrastructure Regions Availability Zones Edge Locations Client-side Data Encryption & Data Integrity Authentication Server-side Encryption (File System and/or Data) Network Traffic Protection (Encryption/Integrity/Identity) Platform, Applications, Identity & Access Management Operating System, Network & Firewall Configuration Customer Data AmazonCliente • SOC I, II, III • ISO 27001/ 2 Certification • Payment Card Industry (PCI) • Data Security Standard (DSS) • FISMA Compliant Controls • DIACAP Compliant Controls • FedRAMP Compliant Controls • ITAR Compliant • HIPAA applications • FIPS • CSA • MPAA Los Clientes Implementan su propio conjunto de Controles aws.amazon.com/compliance
  58. 58. Caso de Éxito
  59. 59. Desafios PCI e Compliance  Proteger las vulnerabilidades(IDS/IPS)  Gestión Simplificada y Centralizada de Controles de Seguridad  Integración con el ambiente en la nube de AWS
  60. 60. Muchas Gracias!

×