Seguridad en la nube de AWS,
Mejores prácticas
Ivan Salazar, Arquitecto de Soluciones
@ivansalazarc
Qué veremos el día de hoy
1.  El modelo de responsabilidad compartida en la seguridad
2.  Usar el alcance global y la disp...
Seguridad en la nube de AWS – Mejores prácticas
1.  El modelo de responsabilidad compartida en la seguridad
2.  Usar el al...
Cada cliente comparte los mismos fundamentos de seguridad de AWS
AWS mantiene un ambiente formal controlado
•  SOC 1 Type ...
AWS Foundation Services
Gestión de llaves
cifradas
Cifrado de cliente
y servidor
Protección de tráfico
de red
Plataforma, ...
•  Cultura de excelencia
operacional y en seguridad
•  Programa de auditorías y
aseguramiento contínuo
•  Protección de pu...
Sus propias
soluciones con
cumplimiento
Puede lograr cumplimiento punto a punto, certificación y auditoría
Sus propios
cer...
Los clientes mantienen control de su propiedad intelectual y contenido
•  El personal de AWS no tiene acceso al contenido ...
1.  El modelo de responsabilidad compartida en la seguridad
2.  Usar el alcance global y la disponibilidad de AWS
3.  Cons...
Región
US-WEST (N. California)
EU-WEST (Ireland)
ASIA PAC
(Tokyo)
ASIA PAC
(Singapore)
US-WEST (Oregon)
SOUTH AMERICA (Sao...
Zona de Disponibilidad
Cada región ofrece resiliencia y alta disponibilidad
US-WEST (N. California)
ASIA PAC
(Tokyo)
ASIA ...
Ubicacioes	
  al	
  borde	
  
Dallas(2)
St.Louis
Miami
Jacksonville
Los Angeles (2)
Palo Alto
Seattle
Ashburn(2)
Newark
Ne...
Asegurando su negocio en la nube de AWS
1.  El modelo de responsabilidad compartida en la seguridad
2.  Usar el alcance gl...
Cada región de AWS tiene múltiples zonas de disponibilidad
ZonadeDisponibilidadA
ZonadeDisponibilidadB
Su VPC cubre todas las zonas de disponibilidad en la región
ZonadeDisponibilidadA
ZonadeDisponibilidadB
Los clientes controlan los rangos de direcciones IP en su VPC
VPC A - 10.0.0.0/16
Seleccione el rango de IPs
•  Su propia ...
Nos vamos a concentrar en una sóla zona por el momento
VPC A - 10.0.0.0/16
ZonadeDisponibilidadA
Segmente el espacio de direcciones IP en múltiples subnets
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC
2
10.0.3.0/24
NA...
Ubique sus instancias EC2 en subredes de acuerdo a su diseño
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC
2
10.0.3.0/24
...
Use los grupos de seguridad de VPC para proteger sus instancias
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC
2
10.0.3.0/...
Cada instancia puede estar hasta en 5 grupos de seguridad
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC
2
10.0.3.0/24
EC
...
Use grupos de seguridad diferentes para aplicativos y gestión
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC
2
10.0.3.0/24...
Los grupos de seguridad mantienen el estado en las reglas de entrada y salida
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
...
El ruteador de VPC va a permitir el ruteo entre subredes
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC
2
10.0.3.0/24
EC
2...
Use Network Access Control Lists to restrict internal VPC traffic
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC
2
10.0.3....
Puede usar NACLs para restringir tráfico interno en la VPC
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
10.0.3.0/24
EC
2
Ro...
Use las NACLs para defender a profundidad
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
10.0.3.0/24
EC
2
Router
NA
T
10.0.5....
Use los Elastic Load Balancers para distribuir el tráfico entre las instancias
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24...
Los Elastic Load Balancers también se ubican en grupos de seguridad
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC
2
10.0....
Su seguridad puede escalar hacia arriba o abajo junto con su solución
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0...
Conectando su VPC a Internet
Agregue un Internet Gateway para rutear el tráfico a Internet de su VPC
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC
2
1...
Usted selecciona que subredes pueden rutear hacia Internet
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC
2
10.0.3.0/24
EC...
Las instancias NAT permiten tráfico de salida a Internet desde subredes privadas
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/...
Integrar su VPC con su infraestructura actual
Su centro de
datos
Agregue un Virtual Private Gateway para rutear el tráfico a sus instalaciones
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
...
Puede crear múltiples túneles IPSEC a sus propios puntos de acceso de VPN
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC
2...
También puede tener una conexión privada con AWS Direct Connect
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC
2
10.0.3.0/...
Si lo necesita también puede crear VPNs sobre Direct Connect
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC
2
10.0.3.0/24
...
Puede rutear las conexiones a Internet por sus propios gateways
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC
2
10.0.3.0/...
Puede tener ambas, conectividad privada y de Internet a su VPC
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC
2
10.0.3.0/2...
Usted tiene el control total al diseñar soluciones híbridas robustas
VPC A - 10.0.0.0/16
EC
2
EC
2
NA
T
EC
2
EC
2
VPC
Rout...
La interconexión de VPC le puede ayudar a construir sus ambientes híbridos
Su organización
Equipos de
proyectos
Marketing
...
Puede distribuir la carga entre zonas de disponibilidad para lograr resiliencia
VPC A - 10.0.0.0/16
Elastic Load
Balancer
...
Los ELBs balancearán el tráfico en una zona y redireccioanrán en caso de falla
VPC A - 10.0.0.0/16
Elastic Load
Balancer
A...
AWS Config Nuevo desde noviembre 2014
AWS Config es un servicio completamente
gestionado que le ofrece un inventario de lo...
AWS Config
Cambio continuo
Registro
Recursos que
cambian
AWS Config
Historia
Stream
Snapshot (ex. 2014-11-05)
AWS Config
Securing Your Business on the AWS Cloud
1.  El modelo de responsabilidad compartida en la seguridad
2.  Usar el alcance gl...
AWS IAM le permite controlar de manera segura el acceso
a los servicios y recursos de AWS
•  Controle quién puede hacer qu...
Segregar funciones entre roles con IAM
Region
Internet
Gateway
Subnet 10.0.1.0/24
Subnet 10.0.2.0/24
VPC A - 10.0.0.0/16
A...
Nunca ponga las llaves secretas de AWS en su instancia de EC2 o las guarde en sus
Amazon Machine Images (AMIs) si puede ev...
Mantenga control de quién puede hacer qué en
AWS usando su directorio activo existente
•  AWS IAM ahora soporta SAML 2.0
•...
Incremente la visibilidad sobre loque sucede en su
ambiente de AWS – quién hizo qué, cuándo y desde
dónde
•  CloudTrail va...
Los logs de AWS CloudTrail en múltiples casos de uso interesantes
CloudTrail le puede ayudar a lograr
muchas tareas
•  Aná...
Amazon CloudWatch Logs puede monitorear su sistema,
aplicación y archivos propios de logs de las instancias
Amazon EC2 y o...
AWS Key Management Service - NUEVO desde noviembre 2014
•  Un servicio administrado que facilita la creación, el control, ...
AWS Key Management Service
Integrado con AWS IAM Console
Securing Your Business on the AWS Cloud
1.  El modelo de responsabilidad compartida en la seguridad
2.  Usar el alcance gl...
AWS tiene muchos servicios de almacenamiento de contenido
EBS
DBA
S3
RDS
Redshift
Configure controles de acceso de S3 a nivel bucket u objeto
•  Limite accesos y permisos lo más cerrado que pueda y revise...
Entendiendo las características de seguridad de Amazon Redshift
Redshift proveé cifrado completo de disco con sólo un clic...
Sáque provecho de las características de seguridad de Amazon RDS
RDS puede reducir la carga operativa de seguridad de sus ...
Cifrado de volúmenes EBS en instancias de Amazon EC2
Use el cifrado nativo de AWS, despliegue su propia solución comercial...
Módulo de seguridad de hardware controlado por el cliente
dentro de la región de AWS para su VPC
•  Dispositivos estándar ...
AWS CloudHSM se integra con dispositivos SafeNet HSMs locales
Su centro de datos
Aplicaciones
Su HSM
NATCloudHSM NATCloudH...
¡GRACIAS!
Ivan Salazar, Arquitecto de Soluciones
@ivansalazarc
Próxima SlideShare
Cargando en…5
×

Webinar Seguridad en la nube de AWS Mejores Prácticas

1.232 visualizaciones

Publicado el

Webinar Seguridad en la nube de AWS Mejores Prácticas

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.232
En SlideShare
0
De insertados
0
Número de insertados
5
Acciones
Compartido
0
Descargas
48
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Webinar Seguridad en la nube de AWS Mejores Prácticas

  1. 1. Seguridad en la nube de AWS, Mejores prácticas Ivan Salazar, Arquitecto de Soluciones @ivansalazarc
  2. 2. Qué veremos el día de hoy 1.  El modelo de responsabilidad compartida en la seguridad 2.  Usar el alcance global y la disponibilidad de AWS 3.  Construir una virtual private cloud segura 4.  Usar AWS Identity and Access Management 5.  Proteger su contenido en AWS
  3. 3. Seguridad en la nube de AWS – Mejores prácticas 1.  El modelo de responsabilidad compartida en la seguridad 2.  Usar el alcance global y la disponibilidad de AWS 3.  Construir una virtual private cloud segura 4.  Usar AWS Identity and Access Management 5.  Proteger su contenido en AWS
  4. 4. Cada cliente comparte los mismos fundamentos de seguridad de AWS AWS mantiene un ambiente formal controlado •  SOC 1 Type II publicado cada 6 meses •  SOC 2 Security y SOC 2 Availability cada 6 meses •  Certificación ISO 27001 •  Certificación ISO 9001 •  Proveedor certificado en PCI DSS Nivel 1 •  Certificación FedRAMP •  HIPAA BAAs Servicios base de AWS Cómputo Almacena- miento Bases de datos Redes Infraestructura global de AWS Regiones Zonas de disponibilidad Ubicaciones al borde
  5. 5. AWS Foundation Services Gestión de llaves cifradas Cifrado de cliente y servidor Protección de tráfico de red Plataforma, Aplicaciones, Identity & Access Management Sistema operativo, Redes y Configuración de Firewalls Contenido del cliente Clientes La seguridad es compartida entre AWS y los clientes Los clientes son responsables de su seguridad EN la nube AWS se encarga de la seguridad de la plataforma Servicios base de AWS Cómputo Almacena- miento Bases de datos Redes Infraestructura global de AWS Regiones Zonas de disponibilidad Ubicaciones al borde
  6. 6. •  Cultura de excelencia operacional y en seguridad •  Programa de auditorías y aseguramiento contínuo •  Protección de punto de acceso de AWS a larga escala •  Configuran las características de seguridad de AWS •  Tienen acceso a un mercado maduro de solciones •  Pueden implementar y gestionar sus propios controles Los clientes se pueden enfocar en la seguridad que importa a su negocio Gestión de llaves cifradas Cifrado de cliente y servidor Protección de tráfico de red Plataforma, Aplicaciones, Identity & Access Management Sistema operativo, Redes y Configuración de Firewalls Contenido del cliente Clientes Servicios base de AWS Cómputo Almacena- miento Bases de datos Redes Infraestructura global de AWS Regiones Zonas de disponibilidad Ubicaciones al borde
  7. 7. Sus propias soluciones con cumplimiento Puede lograr cumplimiento punto a punto, certificación y auditoría Sus propios certificados 27001 y 9001 Sus propias auditorías financieras o de tipo SOC si es proveedor •  Logre el cumplimiento PCI, HIPAA y MPAA •  Certifíquese en ISO27001 en menor tiempo •  Audite sus controles clave, o publique sus propias certificaciones Clientes Servicios base de AWS Cómputo Almacena- miento Bases de datos Redes Infraestructura global de AWS Regiones Zonas de disponibilidad Ubicaciones al borde •  Cultura de excelencia operacional y en seguridad •  Programa de auditorías y aseguramiento contínuo •  Protección de punto de acceso de AWS a larga escala
  8. 8. Los clientes mantienen control de su propiedad intelectual y contenido •  El personal de AWS no tiene acceso al contenido del cliente o al sistema operativo huésped •  Los clientes administran sus objetivos de privacidad como deseen, lea nuestros whitepapers de seguridad en nuestro centro de compliance. •  Seleccione la región geográfica de AWS sin replicación automática a ningún lado •  Los clientes pueden encriptar su contenido, mantener la gestión y propiedad de las llaves e implementar controles adicionales para proteger su contenido en AWS La seguridad es nuestra prioridad número uno •  La seguridad en Amazon está por encima, contamos con un CISO dedicado y una fuerte cultura orientada a la excelencia operacional y análisis a la raíz de las cosas. •  Equipos de seguridad internos y dedicados, que constantemente revisan la seguridad de nuestros servicios y como ayudar a nuestros clientes a asegurar los suyos Los clientes son dueños y tienen control total de su contenido
  9. 9. 1.  El modelo de responsabilidad compartida en la seguridad 2.  Usar el alcance global y la disponibilidad de AWS 3.  Construir una virtual private cloud segura 4.  Usar AWS Identity and Access Management 5.  Proteger su contenido en AWS Seguridad en la nube de AWS – Mejores prácticas
  10. 10. Región US-WEST (N. California) EU-WEST (Ireland) ASIA PAC (Tokyo) ASIA PAC (Singapore) US-WEST (Oregon) SOUTH AMERICA (Sao Paulo) US-EAST (Virginia) GOV CLOUD ASIA PAC (Sydney) Los clientes pueden usar cualquier región de AWS al rededor del mundo EU-CENTRAL (Frankfurt)
  11. 11. Zona de Disponibilidad Cada región ofrece resiliencia y alta disponibilidad US-WEST (N. California) ASIA PAC (Tokyo) ASIA PAC (Singapore) US-WEST (Oregon) SOUTH AMERICA (Sao Paulo) US-EAST (Virginia) GOV CLOUD ASIA PAC (Sydney) EU-WEST (Ireland) EU-CENTRAL (Frankfurt)
  12. 12. Ubicacioes  al  borde   Dallas(2) St.Louis Miami Jacksonville Los Angeles (2) Palo Alto Seattle Ashburn(2) Newark New York (2) Dublin London(2) Amsterdam Stockholm Frankfurt Paris(2) Singapore(2) Hong Kong (2) Tokyo Sao Paulo South Bend San Jose Osaka Milan Sydney Chennai Mumbai Utilice las ubicaciones al borde para servir contenido más cerca de sus clientes Rio de Janeiro Melbourne Taipei Manila
  13. 13. Asegurando su negocio en la nube de AWS 1.  El modelo de responsabilidad compartida en la seguridad 2.  Usar el alcance global y la disponibilidad de AWS 3.  Construir una virtual private cloud segura 4.  Usar AWS Identity and Access Management 5.  Proteger su contenido en AWS
  14. 14. Cada región de AWS tiene múltiples zonas de disponibilidad ZonadeDisponibilidadA ZonadeDisponibilidadB
  15. 15. Su VPC cubre todas las zonas de disponibilidad en la región ZonadeDisponibilidadA ZonadeDisponibilidadB
  16. 16. Los clientes controlan los rangos de direcciones IP en su VPC VPC A - 10.0.0.0/16 Seleccione el rango de IPs •  Su propia sección privada y aislada de la nube de AWS •  Cada VPC tiene un espacio privado de direcciones IPs •  El bloque máxico CIDR que puede asignar es /16 •  Por ejemplo 10.0.0.0/16 – esto permite 256*256 = 65,536 direcciones IP Seleccione sus IPs estratégicamente •  Una vez creado el espacio de direcciones IP no se puede cambiar •  Piense en la superposición con otras VPCs o redes corporativas existentes •  No desperdicie el espacio de IPs, pero no limite su crecimiento tampoco ZonadeDisponibilidadA ZonadeDisponibilidadB
  17. 17. Nos vamos a concentrar en una sóla zona por el momento VPC A - 10.0.0.0/16 ZonadeDisponibilidadA
  18. 18. Segmente el espacio de direcciones IP en múltiples subnets VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 NA T 10.0.5.0/2410.0.4.0/24 EC 2 EC 2 Web ZonadeDisponibilidadA
  19. 19. Ubique sus instancias EC2 en subredes de acuerdo a su diseño VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC2 NA T 10.0.5.0/24 Jump 10.0.4.0/24 EC2App Log EC 2 Web ZonadeDisponibilidadA
  20. 20. Use los grupos de seguridad de VPC para proteger sus instancias VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 NA T 10.0.5.0/24 Jump 10.0.4.0/24 EC 2 App “Los servidores web se pueden conectar a los de aplicación por el puerto 8080” Log EC 2 Web ZonadeDisponibilidadA
  21. 21. Cada instancia puede estar hasta en 5 grupos de seguridad VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 NA T 10.0.5.0/24 Jump 10.0.4.0/24 EC 2 App “Permitir conexiones de salida al servidor de logs” Log EC 2 Web ZonadeDisponibilidadA “Los servidores web se pueden conectar a los de aplicación por el puerto 8080”
  22. 22. Use grupos de seguridad diferentes para aplicativos y gestión VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 NA T 10.0.5.0/24 Jump 10.0.4.0/24 EC 2 App “Permite SSH y ICMP de los servidores en el grupo Jump Hosts” Log EC 2 Web ZonadeDisponibilidadA “Permitir conexiones de salida al servidor de logs” “Los servidores web se pueden conectar a los de aplicación por el puerto 8080”
  23. 23. Los grupos de seguridad mantienen el estado en las reglas de entrada y salida VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 NA T 10.0.5.0/24 Jump 10.0.4.0/24 EC 2 App Log EC 2 Web Grupos de seguridad •  Operan a nivel instancia •  Sólo soportan reglas ALLOW •  Conservan el estado •  Máximo 50 reglas por grupo de seguridad ZonadeDisponibilidadA
  24. 24. El ruteador de VPC va a permitir el ruteo entre subredes VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 Router NA T 10.0.5.0/24 Jump 10.0.4.0/24 EC 2 App Log EC 2 Web ZonadeDisponibilidadA
  25. 25. Use Network Access Control Lists to restrict internal VPC traffic VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 Router NA T 10.0.5.0/24 Jump 10.0.4.0/24 EC 2 App Log EC 2 Web ZonadeDisponibilidadA
  26. 26. Puede usar NACLs para restringir tráfico interno en la VPC VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 10.0.3.0/24 EC 2 Router NA T 10.0.5.0/24 Jump 10.0.4.0/24 EC 2 App Log EC 2 Web “Denegar todo el tráfico entre la subred de los servidores web y la subred de las bases de datos” ZonadeDisponibilidadA
  27. 27. Use las NACLs para defender a profundidad VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 10.0.3.0/24 EC 2 Router NA T 10.0.5.0/24 Jump 10.0.4.0/24 EC 2 App Log EC 2 Web NACLs son opcionales •  Aplicados a nivel subred, sin estado y permiten todo por defecto •  ALLOW y DENY •  Aplica a todas las instancias de la subred •  Úsese como segunda línea de defensa ZonadeDisponibilidadA
  28. 28. Use los Elastic Load Balancers para distribuir el tráfico entre las instancias VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 Router NA T 10.0.5.0/24 Jump 10.0.4.0/24 EC 2 App Log EC 2 WebEC 2 Web Elastic Load Balancer ZonadeDisponibilidadA
  29. 29. Los Elastic Load Balancers también se ubican en grupos de seguridad VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 Router NA T 10.0.5.0/24 Jump 10.0.4.0/24 EC 2 App Log EC 2 WebEC 2 Web EC 2 EC 2 EC 2 Web Elastic Load Balancer ZonadeDisponibilidadA
  30. 30. Su seguridad puede escalar hacia arriba o abajo junto con su solución VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC2 10.0.3.0/24 EC2 Router NA T 10.0.5.0/24 Jump 10.0.4.0/24 EC2App Log EC2WebEC2WebEC2EC2Web Elastic load balancers •  Las instancias se pueden agregar o quitar automáticamente del pool mediante el uso de reglas •  Puede agregar instancias al grupo de seguridad al momento de lanzarse Elastic Load Balancer Auto scaling ZonadeDisponibilidadA
  31. 31. Conectando su VPC a Internet
  32. 32. Agregue un Internet Gateway para rutear el tráfico a Internet de su VPC VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 NA T 10.0.4.0/24 EC 2 App EC 2 WebEC 2 WebEC 2 EC 2 Web Internet Gateway VPC Router ZonadeDisponibilidadA
  33. 33. Usted selecciona que subredes pueden rutear hacia Internet VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 10.0.4.0/24 EC 2 App EC 2 WebEC 2 WebEC 2 EC 2 Web Internet Gateway VPC Router Ruteo a Internet •  Agregue tablas de ruteo a las subredes para controlar los flujos del tráfico a Internet – estas se volverán subredes públicas •  El ruteo al Internet Gateway le permite asignar una dirección Elastic IP estática o usar direcciones IP públicas administradas por AWS a su instancia ZonadeDisponibilidadA
  34. 34. Las instancias NAT permiten tráfico de salida a Internet desde subredes privadas VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 NA T 10.0.4.0/24 EC 2 App EC 2 WebEC 2 WebEC 2 EC 2 Web Internet Gateway VPC Router Ruteo a Internet •  Utilice una instancia NAT para proveer conectividad a Internet a las subredes privadas – se requiere para acceder los repositorios de actualizaciones de AWS •  Esto además permite a los servidores de back-end rutear a los APIs de AWS, por ejemplo: guardar logas en S3 o usar DynamoDB, SQS, etc. NAT ZonadeDisponibilidadA
  35. 35. Integrar su VPC con su infraestructura actual Su centro de datos
  36. 36. Agregue un Virtual Private Gateway para rutear el tráfico a sus instalaciones VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 NA T 10.0.4.0/24 EC 2 App EC 2 WebEC 2 WebEC 2 EC 2 Web VPC Router Virtual Private Gateway ZonadeDisponibilidadA Su centro de datos
  37. 37. Puede crear múltiples túneles IPSEC a sus propios puntos de acceso de VPN VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 NA T 10.0.4.0/24 EC 2 App EC 2 WebEC 2 WebEC 2 EC 2 Web VPC Router Virtual Private Gateway ZonadeDisponibilidadA Su centro de datos Gateway del cliente
  38. 38. También puede tener una conexión privada con AWS Direct Connect VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 NA T 10.0.4.0/24 EC 2 App EC 2 WebEC 2 WebEC 2 EC 2 Web VPC Router Direct ConnectVirtual Private Gateway ZonadeDisponibilidadA Su centro de datos Gateway del cliente
  39. 39. Si lo necesita también puede crear VPNs sobre Direct Connect VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 NA T 10.0.4.0/24 EC 2 App EC 2 WebEC 2 WebEC 2 EC 2 Web VPC Router Direct ConnectVirtual Private Gateway ZonadeDisponibilidadA Su centro de datos Gateway del cliente
  40. 40. Puede rutear las conexiones a Internet por sus propios gateways VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 NA T 10.0.4.0/24 EC 2 App EC 2 WebEC 2 WebEC 2 EC 2 Web VPC Router Direct ConnectVirtual Private Gateway ZonadeDisponibilidadA Su centro de datos Gateway del cliente
  41. 41. Puede tener ambas, conectividad privada y de Internet a su VPC VPC A - 10.0.0.0/16 10.0.1.0/24 10.0.2.0/24 EC 2 10.0.3.0/24 EC 2 NA T 10.0.4.0/24 EC 2 App EC 2 WebEC 2 WebEC 2 EC 2 Web VPC Router Direct ConnectVirtual Private Gateway Internet Gateway Amazon S3 DynamoDB NAT ZonadeDisponibilidadA Su centro de datos Gateway del cliente
  42. 42. Usted tiene el control total al diseñar soluciones híbridas robustas VPC A - 10.0.0.0/16 EC 2 EC 2 NA T EC 2 EC 2 VPC Router Direct ConnectVirtual Private Gateway Internet Gateway Amazon S3 DynamoDB NA T Su centro de datos Elastic Load Balancer Web Public subnet Private subnet Web Auto scaling Master EC 2 Failove r ZonadeDisponibilidadA
  43. 43. La interconexión de VPC le puede ayudar a construir sus ambientes híbridos Su organización Equipos de proyectos Marketing Unidades de negocio Reporteo Digital / Sitios Web Dev and Test Redshift EMR Analytics Aplicaciones internal empresa- riales Amazon S3 Amazon Glacier Almacena- miento/ respaldos
  44. 44. Puede distribuir la carga entre zonas de disponibilidad para lograr resiliencia VPC A - 10.0.0.0/16 Elastic Load Balancer AvailabilityZoneB Web Public subnet EC 2 EC 2 Private subnet Private subnet Web Auto scaling Applicatio n Applicatio n Elastic Load Balancer Private subnet Elastic Load Balancer Public subnet Web Private subnet Web Elastic Load Balancer Private subnet EC 2Private subnet Applicatio n Applicatio n Auto scaling Auto scaling Auto scaling Internet Gateway ZonadeDisponibilidadA
  45. 45. Los ELBs balancearán el tráfico en una zona y redireccioanrán en caso de falla VPC A - 10.0.0.0/16 Elastic Load Balancer AvailabilityZoneB Web Public subnet EC 2 EC 2 Private subnet Private subnet Web Auto scaling Applicatio n Applicatio n Elastic Load Balancer Private subnet Elastic Load Balancer Public subnet Web Private subnet Web Elastic Load Balancer Private subnet EC 2Private subnet Applicatio n Applicatio n Auto scaling Auto scaling Auto scaling Internet Gateway ZonadeDisponibilidadA
  46. 46. AWS Config Nuevo desde noviembre 2014 AWS Config es un servicio completamente gestionado que le ofrece un inventario de los recursos de AWS, así como como el historial de configuración y las notificaciones en los cambios de configuración
  47. 47. AWS Config Cambio continuo Registro Recursos que cambian AWS Config Historia Stream Snapshot (ex. 2014-11-05) AWS Config
  48. 48. Securing Your Business on the AWS Cloud 1.  El modelo de responsabilidad compartida en la seguridad 2.  Usar el alcance global y la disponibilidad de AWS 3.  Construir una virtual private cloud segura 4.  Usar AWS Identity and Access Management 5.  Proteger su contenido en AWS
  49. 49. AWS IAM le permite controlar de manera segura el acceso a los servicios y recursos de AWS •  Controle quién puede hacer qué, cuándo y desde dónde •  Control de permisos de usuarios, recursos y acciones finamente granulares •  Agregue autenticación multi-pasos •  Token físico o aplicaciones para smartphones •  Pruebe sus políticas nuevas usando el simulador de políticas de Identity and Access Management Usted tiene control detallado y granular de su ambiente de AWS
  50. 50. Segregar funciones entre roles con IAM Region Internet Gateway Subnet 10.0.1.0/24 Subnet 10.0.2.0/24 VPC A - 10.0.0.0/16 Availability Zone Availability Zone Router Internet Customer Gateway Usted selecciona quién puede hacer qué en su ambinete de AWS y desde dónde Dueño de la cuenta de AWS Admòn de redes Admón de seguridad Admón de servidores Admón de almacenamiento Administre y opere
  51. 51. Nunca ponga las llaves secretas de AWS en su instancia de EC2 o las guarde en sus Amazon Machine Images (AMIs) si puede evitarlo. Es muy simple: •  Cree un rol de IAM •  Defina qué cuentas o servicio de AWS pueden asumir el rol, por ejemplo: EC2 •  Defina que acciones API y recursos puede usar la aplicación después de asumir el rol, por ejemplo: acceso de lectura a un bucket de S3 •  Especifique al rol cuando lance sus instancias •  Haga que la aplicación obtenga un grupo de credenciales temporales y las utilice AWS administra y distribuye acceso al rol para usted no tenga que hacerlo! Use IAM para distribuir credenciales temporales para acceso a las API
  52. 52. Mantenga control de quién puede hacer qué en AWS usando su directorio activo existente •  AWS IAM ahora soporta SAML 2.0 •  Federar con directorios activos locales como Active Directory o cualquier proveedor de identidad compatible con SAML 2.0 •  Utilice los usuarios y grupos del directorio activo para autenticación y autorización •  Ejemplo: El grupo de seguridad “Administradores de bases de datos” del directorio puede tener acceso para crear y migrar based de datos locales e instancias RDS de AWS Federar AWS IAM con directorios existentes
  53. 53. Incremente la visibilidad sobre loque sucede en su ambiente de AWS – quién hizo qué, cuándo y desde dónde •  CloudTrail va a grabar los accesos a las llamadas API y guardar los logs en sus buckets de S3, sin importar cómo fueron realizadas esas llamadas •  Sea notificado cada entrega de logs utilizando Simple Notification Service de AWS •  Soporte a muchos servicios de AWS incluyendo EC2, EBS, VPC, RDS, IAM, STS y RedShift •  Agregue información de logs en un sólo bucket de S3 Integración con hrramientas de análisis de socios de negocio de AWS incluyendo Splunk, AlertLogic and SumoLogic. Use AWS CloudTrail para reastrear el acceso a los API y IAM
  54. 54. Los logs de AWS CloudTrail en múltiples casos de uso interesantes CloudTrail le puede ayudar a lograr muchas tareas •  Análisis de seguridad •  Rastrear cambios en los recursos de AWS, por ejemplo grupos de seguridad de VPC y NACLs •  Cumplimiento – entienda el histórico de llamados a las API •  Analize y resuleva problemas operacionales – Identifique de maerá rápida los cambios más recientes a su ambiente
  55. 55. Amazon CloudWatch Logs puede monitorear su sistema, aplicación y archivos propios de logs de las instancias Amazon EC2 y otras fuentes, por ejemplo: Monitoreé los archivos de logs de http de su servidor web y use los filtros de CloudWatch Metrics para identificar errores del tipo 404 y contar el número de ocurrencias dentro de un tiempo específico Con CloudWatch Alarms puede posteriormente notificarle cuando el número de errores 404 sobrepasa el límite que haya decidido definir – puede utilizar esto para automáticamente generar un ticket de investigación Puede monitorear todo con CloudWatch logs
  56. 56. AWS Key Management Service - NUEVO desde noviembre 2014 •  Un servicio administrado que facilita la creación, el control, la rotación y el uso de sus llaves de cifrado, integrado con Amazon EBS, Amazon S3, y Amazon Redshift al momento de lanzar – más servicios próximamente •  Integrado con AWS AWS CloudTrail para proveer logs auditables para ayudar en sus actividades de cumplimiento regulatorio •  Jerarquía de llaves de dos capas usando envelope encryption •  Llaves de datos únicas usadas para cifrar datos de usuarios, las llaves maestras de AWS KMS cifran las llaves de datos •  Beneficios de envelope encryption: •  Limita el riezgo de una llave de datos comprometida •  Mejor rendimiento para cifrar volúmenes altos de datos •  Más fácil gestionar un número menor de llaves maestras que millones de llaves de datos Customer Master Key(s) Data Key 1 Amazon S3 Object Amazon EBS Volume Amazon Redshift Cluster Data Key 2 Data Key 3 Data Key 4 Custom Application AWS KMS
  57. 57. AWS Key Management Service Integrado con AWS IAM Console
  58. 58. Securing Your Business on the AWS Cloud 1.  El modelo de responsabilidad compartida en la seguridad 2.  Usar el alcance global y la disponibilidad de AWS 3.  Construir una virtual private cloud segura 4.  Usar AWS Identity and Access Management 5.  Proteger su contenido en AWS
  59. 59. AWS tiene muchos servicios de almacenamiento de contenido EBS DBA S3 RDS Redshift
  60. 60. Configure controles de acceso de S3 a nivel bucket u objeto •  Limite accesos y permisos lo más cerrado que pueda y revise de manera regular los logs de acceso •  Use manejo de versiones para archivos importantes con MFA requerida para borrado Use las característica de cifrado de S3 •  Use HTTPS para proteger los datos en tránsito •  Cifrado S3 del lado del servidor •  AWS va a cifrar de manera transparente sus objetos usando AES-256 y administrará las llaves en su nombre, o puede administrar las mismas usando AWS Key Management Service (KMS) •  Use cifrado de S3 del lado del cliente •  Cífre la información antes de enviarla a S3 •  Constrúyalo usted mismo o utilice el SDK de Java •  Use MD5 checksums para verificar la integridad de los objetos copiados en S3 durante períodos de tiempo prolongados Haga uso de las características de seguridad disponibles en S3
  61. 61. Entendiendo las características de seguridad de Amazon Redshift Redshift proveé cifrado completo de disco con sólo un click como estándar •  Si lo desea los respaldos a S3 también pueden cifrarse •  Puede usar AWS CloudHSM para guardar sus llaves o proveer llaves de AWS Key Management Service (KMS) Puede construir cifrado punto-a-punto para su flujo de datos •  Use el cifrado del lado del cliente para cifrar datos en S3 •  Pase a Redshift la misma llave y desencriptará al momento de cargar los datos Configura los grupos de seguridad considere usar una VPC •  RedShift carga los datos desde S3 a través de SSL •  Limite el acceso a esos buckets de S3 Utilice SSL para proteger la información en tránsito si se consulta desde Internet
  62. 62. Sáque provecho de las características de seguridad de Amazon RDS RDS puede reducir la carga operativa de seguridad de sus bases de datos •  Llimite el acceso a las instancias de RDS con grupos de seguridad •  Limite el acceso de administradores a RDS con permisos AWS IAM Cifre los datos en tránsito •  Oracle Native Network Encryption, SSL para SQL Server, MySQL y PostgreSQL – especialmente si la base de datos es accesible desde Internet Cifre los datos en reposo en tablas sensibles •  Nativo en RDS a través de SQL Server y Oracle Transparent Data Encryption •  Cifre información sensible al nivel de la aplicación o use un proxy de DB Configure la instalación automática de parches para actualizaciones menores – Permita a AWS hacer el trabajo pesado por usted dentro una ventana de mantenimiento que haga seleccionado DBA RDS
  63. 63. Cifrado de volúmenes EBS en instancias de Amazon EC2 Use el cifrado nativo de AWS, despliegue su propia solución comercial de los socios de negocio de AWS •  Cifrado nativo a AWS EBS a un sólo click. Las llaves de cifrado se pueden consultar y administrar mediante AWS Key Management Service •  Use Windows BitLocker o Linux LUKS para volúmenes cifrados •  SafeNet Protect-V, Trend Secure Cloud, Voltage – algunos vendedores ofrecen cifrado de volúmenes de arranque, incluyendo opciones de alacenamiento de llave de hardware Administrar llaves de cifrado es crítico y difícil! •  Cómo gestionaría las llaves y estaría seguro que estén disponibles cuando se necesite, por ejemplo al arranque de la instancia? •  Cómo las mantendrá actualizadas y prevenir pérdidas? Cómo las rotará de manera regular y mantenerlas privadas? EBS
  64. 64. Módulo de seguridad de hardware controlado por el cliente dentro de la región de AWS para su VPC •  Dispositivos estándar en la industria SafeNet Luna. Certificados Common Criteria EAL4+, NIST FIPS 140-2 •  Los administradores de Amazon que dan mantenimiento a los dispositivos no tienen acceso al mismo Almacenamiento de llaves Confiable y Durable •  Utilícelo para cifrado de datos transparente en bases de datos auto administradas y de forma nativa co Redshift •  Intégrelo con sus aplicaciones usando los API de Java •  Integrado con cifrado de discos del mercado y guías de configuración para almacenar certificados de seguridad SSL También puede utilizar AWS CloudHSM para guardar sus llaves de encripción
  65. 65. AWS CloudHSM se integra con dispositivos SafeNet HSMs locales Su centro de datos Aplicaciones Su HSM NATCloudHSM NATCloudHSM Volume, object, database encryption Transaction signing / DRM / apps EC 2 H/A PAIR SYNC EBS S 3Amazon S3 Amazon Glacier
  66. 66. ¡GRACIAS! Ivan Salazar, Arquitecto de Soluciones @ivansalazarc

×