Seguridad en la nube AWS 
Henry Alvarado 
Solutions Architect
Responsabilidad compartida 
AWS Cliente 
• Instalaciones 
• Seguridad Física 
• Infraestructura Física 
• Infraestructura ...
Certificaciones AWS
Certificaciones AWS 
• Basadas en el modelo de responsabilidad compartida 
• Ambiente AWS 
– SOC 1 (SSAE 16 & ISAE 3204) T...
Certificación AWS 
Clientes implementaron varias aplicaciones 
certificadas: 
– Sarbanes-Oxley (SOX) 
– HIPAA (healthcare)...
Iniciativas Adicionales 
• Cuestionario del “Cloud Security Alliance” (CSA) 
– Respuesta en “Risk and Compliance Whitepape...
Certificación ISO 27001 
• ISO 27001/27002 certificación alcanzada 11/2010 
• Sigue ISO 27002 guía de mejores prácticas 
•...
PCI DSS Level 1 Service Provider 
• PCI DSS 2.0 compliant (Level 1 is >300,000 transactions/year) 
• Inicialmente 4 servic...
Cómo AWS lo logró?
Seguridad Física de los Datacenters 
• Amazon ha construido datacenters de gran escala por muchos años 
• Atributos import...
Gestión de configuración AWS 
• La mayor parte de las actualizaciones son hechas de forma que no impacten al 
usuario. 
• ...
Seguridad en EC2 
• Sistema Operativo del Host (debajo del hypervisor) 
– Accesos individuales SSH con llave, usando Basti...
Cliente 1 
Amazon EC2 Instance Isolation 
Interfaces Físicas 
Cliente 2 … Cliente n 
Hypervisor 
Interfaces Virtuales 
… 
...
Descarte de dispositivos de almacenamiento 
• Todo dispositivo de almacenamiento debe pasar 
por este proceso. 
• Técnicas...
Seguridad en el flujo de tráfico de red 
• Security Groups (Reglas de Firewall) 
• Tráfico de entrada necesita ser 
explíc...
Confidencialidad en el tráfico de red 
Amazon EC2 
Instancias 
• Tráfico confidencial debería ser controlado con criptogra...
Creando arquitecturas seguras
AWS está construida para “Disponibilidad continua” 
• Servicios escalables y tolerantes a fallas 
• Todos los datacenters ...
AWS Identity and Access Management 
• Usuarios y Grupos dentro de las cuentas 
• Credenciales únicas de seguridad 
• Llave...
Credenciales de seguridad temporales (sesiones) 
• Credenciales de seguridad temporales, conteniendo: 
 Identidad para au...
Sincronización de Identidad con IAM
Federación de Identidad  AWS APIs
Autenticación Multi-Fator AWS 
• Ayuda a prevenir que personas con conocimiento de su login y contraseña tengan acceso sup...
Ejemplo de abordaje de seguridad Multi-capa 
Capa Web 
Capa de Aplicación 
Capa de Base de datos 
Únicamente puertos 
80 y...
Amazon Virtual Private Cloud (VPC) 
• Crear un ambiente aislado lógicamente en la infraestructura altamente escalable de A...
Controles de seguridad de red en VPC
VPC – Instancias dedicadas 
• Opción para garantizar que host físicos no son compartidos por otros 
clientes 
• $2/hr flat...
Recomendaciones: 
• Diseño con menor cantidad de privilegios 
• SOA design 
• Clasificar los recursos y proteger de acuerd...
AWS Security and Compliance Center 
(http://aws.amazon.com/security/) 
• Respuestas a muchas preguntas de seguridad y priv...
Recursos Adicionales 
• Converse con nosotros sobre sus preguntas de 
seguridad 
• Arquitectos de Soluciones especialistas...
Sus sugerencias/dudas son *muy* 
importantes… 
• Preguntas sobre nuestras certificaciones y 
conformidades? 
• Otras certi...
Gracias! 
aws.amazon.com/security 
Henry Alvarado 
• Email: gomhenry@amazon.
Seguridad en la nube aws
Próxima SlideShare
Cargando en…5
×

Seguridad en la nube aws

1.057 visualizaciones

Publicado el

Publicado en: Empresariales
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.057
En SlideShare
0
De insertados
0
Número de insertados
5
Acciones
Compartido
0
Descargas
17
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Seguridad en la nube aws

  1. 1. Seguridad en la nube AWS Henry Alvarado Solutions Architect
  2. 2. Responsabilidad compartida AWS Cliente • Instalaciones • Seguridad Física • Infraestructura Física • Infraestructura de Red • Infraestructura de Virtualización • Sistema Operativo • Aplicación • Reglas de Firewall (SG) • Firewall del Sistema Operativo • Configuración de Red • Administración de cuentas
  3. 3. Certificaciones AWS
  4. 4. Certificaciones AWS • Basadas en el modelo de responsabilidad compartida • Ambiente AWS – SOC 1 (SSAE 16 & ISAE 3204) Type II Audit (was SAS70) – SOC 2 Audit – SOC 3 Audit (Nuevo desde 2013) – ISO 27001 (Certificación) – Payment Card Industry Data Security Standard (PCI DSS) Level 1 Service Provider – FedRAMP (FISMA), ITAR, FIPS 140-2
  5. 5. Certificación AWS Clientes implementaron varias aplicaciones certificadas: – Sarbanes-Oxley (SOX) – HIPAA (healthcare) – FISMA (US Federal Government) – DIACAP MAC III Sensitive IATO
  6. 6. Iniciativas Adicionales • Cuestionario del “Cloud Security Alliance” (CSA) – Respuesta en “Risk and Compliance Whitepaper” • Motion Picture Association of America (MPAA) – Mejores prácticas para almacenar, procesar y distribuir contenido.
  7. 7. Certificación ISO 27001 • ISO 27001/27002 certificación alcanzada 11/2010 • Sigue ISO 27002 guía de mejores prácticas • Cubre el AWS “Information Security Management System” (ISMS) • Cubre EC2, S3, VPC, EBS, RDS, DynamoDB, VM Import/Export, Direct Connect, Storage Gateway, Glacier, EMR, Elastichache, Redshift e IAM • Auditoría de 3 años; auditoría actualizada cada 12 meses. • Incluye todas las regiones.
  8. 8. PCI DSS Level 1 Service Provider • PCI DSS 2.0 compliant (Level 1 is >300,000 transactions/year) • Inicialmente 4 servicios – ahora 14 servicios en el alcance (Ago 2013): – EC2, EBS, S3, VPC, RDS, ELB, IAM, Glacier, Direct Connect, DynamoDB, SimpleDB, Elastic Map Reduce, and new in 2013: CloudHSM, Redshift • Certificada en todas las regiones AWS • Ciclo de actualización es anual
  9. 9. Cómo AWS lo logró?
  10. 10. Seguridad Física de los Datacenters • Amazon ha construido datacenters de gran escala por muchos años • Atributos importantes: – Instalaciones / datacenters no divulgados públicamente – Robustos controles de perímetro – Estricto control de acceso físico – 2 o mas niveles de autenticación “two-factor” • Acceso altamente controlado (“need-basis”) • Todo acceso es registrado y revisado • Separación de papeles – Empleados con acceso físico no poseen acceso lógico.
  11. 11. Gestión de configuración AWS • La mayor parte de las actualizaciones son hechas de forma que no impacten al usuario. • Los cambios son autorizados, registrados, probados, aprobados y documentados. • AWS comunicará vía email o a través del AWS Service Health Dashboard (http://status.aws.amazon.com/) cuando exista una posibilidad de afectar a los clientes. Los clientes son responsables por el control de cambios en sus ambientes!
  12. 12. Seguridad en EC2 • Sistema Operativo del Host (debajo del hypervisor) – Accesos individuales SSH con llave, usando Bastion Host para administradores AWS. – Todo acceso es registrado y auditado. • Guest (a.k.a. Instancia) Sistema Operativo – Controlado por el cliente (credenciales root/administrator son del cliente) – Administradores AWS no poseen credenciales de acceso. – Par de llaves generadas y administradas por el cliente • Firewall Stateful – Firewall de entrada es obligatorio, por defecto todo acceso es negado (En VPC también existe firewall de salida) – El cliente controla la configuración de los firewalls a través de los Security Groups • Signed API calls – Es necesario usar certificado X.509 o las Secret Keys del usuario.
  13. 13. Cliente 1 Amazon EC2 Instance Isolation Interfaces Físicas Cliente 2 … Cliente n Hypervisor Interfaces Virtuales … Firewall Cliente 1 Security Groups Cliente 2 Security Groups Cliente n Security Groups
  14. 14. Descarte de dispositivos de almacenamiento • Todo dispositivo de almacenamiento debe pasar por este proceso. • Técnicas utilizadas: – DoD 5220.22-M (“National Industrial Security Program Operating Manual”) – NIST 800-88 (“Guidelines for Media Sanitation”) • Finalmente – Desmagnetización – Destrucción física
  15. 15. Seguridad en el flujo de tráfico de red • Security Groups (Reglas de Firewall) • Tráfico de entrada necesita ser explícitamente especificado por protocolo, puerto y Security Group (SG) • VPC agrega filtros de salida • VPC también agrega “Network Access Control Lists” (ACLs): filtros “stateless” de entrada y salida. • OS Firewall (e.g., iptables) también puede ser implementado • Capa de seguridad controlada por el usuario • Control de acceso granular para hosts específicos • Registro de eventos (log) Encrypted File System Encrypted Swap File Inbound Traffic OS Firewall Amazon Security Groups VPC Network ACL
  16. 16. Confidencialidad en el tráfico de red Amazon EC2 Instancias • Tráfico confidencial debería ser controlado con criptografía. • Tráfico hacia la red corporativa, debería ser encapsulado dentro de túneles VPN. Tráfico Internet Red Corporativa VPN
  17. 17. Creando arquitecturas seguras
  18. 18. AWS está construida para “Disponibilidad continua” • Servicios escalables y tolerantes a fallas • Todos los datacenters están siempre activos (“always on”) – No tenemos “Disaster Recovery Datacenter” – Administrados bajo los mismo estándares • Conectividad robusta con Internet – Cada AZ posee proveedores de servicios (Tier 1) redundantes – Infraestructura de red confiable
  19. 19. AWS Identity and Access Management • Usuarios y Grupos dentro de las cuentas • Credenciales únicas de seguridad • Llaves de acceso • Login/Password • Dispositivo MFA opcional • Políticas de control de acceso a las APIs AWS • Altamente integrada con algunos servicios • S3: Políticas sobre objetos y buckets • Consola de administración AWS soporta log on de usuario • No está pensado para Sistemas Operativos o aplicaciones • Para esto, utilizar: LDAP, Active Directory/ADFS, etc...
  20. 20. Credenciales de seguridad temporales (sesiones) • Credenciales de seguridad temporales, conteniendo:  Identidad para autenticación  Políticas de acceso para control de permisos  Expiración Configurable (1 – 36 horas) • Soporta:  Identidades AWS (incluyendo usuarios IAM)  Federación de identidades (autentica usuarios de los clientes) • Escala para millones de usuarios – No necesita crear una identidad IAM para cada usuario. • Casos de uso  Federación de identidad para la APIs AWS  Aplicaciones para dispositivos móviles o navegadores  Aplicaciones con usuarios ilimitados
  21. 21. Sincronización de Identidad con IAM
  22. 22. Federación de Identidad  AWS APIs
  23. 23. Autenticación Multi-Fator AWS • Ayuda a prevenir que personas con conocimiento de su login y contraseña tengan acceso suplantando su identidad • Protección adicional para la información de su cuenta • Funciona con: – Cuenta Master – Usuarios IAM • Integrado con: – Consola de administración AWS – Key pages en el Portal AWS – S3 (Borrado con seguridad) – Workspaces (NEW) Una opción de seguridad altamente recomendada
  24. 24. Ejemplo de abordaje de seguridad Multi-capa Capa Web Capa de Aplicación Capa de Base de datos Únicamente puertos 80 y 443 abiertos a internet Staff de ingeniería tiene acceso ssh a la capa de aplicación que actúa como un Bastión Todos los otros puertos de acceso de internet, bloqueados por defecto Amazon EC2 Security Group Firewall
  25. 25. Amazon Virtual Private Cloud (VPC) • Crear un ambiente aislado lógicamente en la infraestructura altamente escalable de Amazon. • Especificar su rango de direccionamiento IP privado dentro de una o más subredes públicas o privadas. • Controlar el acceso de entrada y salida desde y hacia subredes individuales usando “stateless” Network Access Control Lists • Proteger sus instancias con filtros “stateful” de entrada y salida de tráfico usando Security Groups • Vincular una dirección IP Elástica (EIP) a cualquier instancia en su VPC para que ella sea alcanzable directamente desde internet. • Unir su VPC con su infraestructura de TI on-premises bajo estándares de la industria para conexiones VPN IPSEC cifradas. • Utilizar un wizard para fácilmente crear su VPC en 4 topologías diferentes.
  26. 26. Controles de seguridad de red en VPC
  27. 27. VPC – Instancias dedicadas • Opción para garantizar que host físicos no son compartidos por otros clientes • $2/hr flat fee por región + specific dedicated pricing • Opción de identificar instancias específicas como dedicadas. • Opción de configurar toda una VPC como dedicada. http://aws.amazon.com/dedicated-instances/
  28. 28. Recomendaciones: • Diseño con menor cantidad de privilegios • SOA design • Clasificar los recursos y proteger de acuerdo a ellos • Seguridad en todas las capas • Inspeccione/verifique lo que usted imagina/espera
  29. 29. AWS Security and Compliance Center (http://aws.amazon.com/security/) • Respuestas a muchas preguntas de seguridad y privacidad • Security whitepaper • Risk and Compliance whitepaper • Boletines de Seguridad • Penetration testing por el cliente • Mejores prácticas de seguridad • Más informaciones: • AWS Identity & Access Management (AWS IAM) • AWS Multi-Factor Authentication (AWS MFA)
  30. 30. Recursos Adicionales • Converse con nosotros sobre sus preguntas de seguridad • Arquitectos de Soluciones especialistas en seguridad y conformidad, están disponibles para hablar con usted cuando lo necesite.
  31. 31. Sus sugerencias/dudas son *muy* importantes… • Preguntas sobre nuestras certificaciones y conformidades? • Otras certificaciones necesarias que usted considere que debamos explorar?
  32. 32. Gracias! aws.amazon.com/security Henry Alvarado • Email: gomhenry@amazon.

×