Asegurando los datos de sus clientes desde el Día 1

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Asegurando los datos de
sus clientes desde el Día 1
Mauricio Muñoz | 2018

Principios de Seguridad por Diseño (SbD)
1. Implementar fundamentos fuertes de identidad
2. Trazabilidad
3. Defensa en profundidad
4. Automatizar
5. Proteger los datos
6. Estar preparado
https://aws.amazon.com/architecture/well-architected/

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Implementar fundamentos fuertes de
identidad
1

Identity Access Management (IAM)
¿Para qué sirve AWS Identity and
Access Management (IAM)?

¿Para qué AWS Identity and Access Management (IAM)?
Para que usted pueda controlar quién puede hacer qué en sus
recursos AWS.
Primitivas:
- Usuarios, Grupos, Recursos, Acciones
- Políticas, Roles
Control:
- Centralizado
- Granular (APIs), Recursos, Acceso a AWS Management
Console
Seguridad:
- Negación por defecto
- Múltiples usuarios: Credenciales y permisos individuales

¿Cómo se ve una política IAM?

Identity Access Management (IAM)
Solamente usuarios autorizados deben ser capaces de
acceder a los recursos:
• Definir accesos
• Proteger las credenciales AWS
• Usar control de acceso y autorización al nivel
más granular posible

Definir accesos
Usuarios Grupos Servicios Roles
• Sea cuidadoso
• SAML 2.0
(ADFS/Shibboleth)
• Gestión de ciclo de
vida
• Agrupación lógica
• Prefiera políticas por
grupos
• Menor privilegio
• Granularidad
• Use roles para instancias,
containers y funciones
• Evite “quemar” credenciales
en el código

prod@ejemplo.com
Acct ID: 999999999999
role-ddb
{ "Statement": [
{ "Action":
[
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:DescribeTable",
"dynamodb:ListTables"
],
"Effect": "Allow",
"Resource": "*“
}]}
test@ejemplo.com
Acct ID: 111111111111 Asume el Rol con las
credenciales de
mauricio
Obtiene
credenciales
temporales para
role-ddb
Llama la API AWS,
usando las
credenciales
temporales de
role-ddb
{ "Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource":
"arn:aws:iam::999999999999:role/ddb-role"
}]}
{ "Statement": [
{
"Effect":"Allow",
"Principal":{"AWS":"111111111111"},
"Action":"sts:AssumeRole"
}]}
Política vs. Roles
role-ddb confía en los usuarios IAM de la cuenta
test@ejemplo.com (111111111111)
Usuario IAM user:
mauricio
Permisos definidos para role-ddb
STS
Permisos asignados a
mauricio, permitiéndole
asumir el role-ddb en la
cuenta 999999999999

Proteger credenciales AWS
• Establecer usuarios con menos privilegios
• Habilitar MFA en la cuenta root
• Considerar federación
• Definir una política de contraseñas
• MFA para usuarios y/o ciertas operaciones
(s3 delete)
• Evitar almacenar API Keys en sistemas de
control de código fuente
• Utilizar credenciales temporales via STS

Control de acceso granular
• Establecer el principio del
mínimo privilegio
• Definir perfiles claros para
usuarios y roles
• Utilizar AWS organizations
para administrar accesos de
manera centralizada

Top 11 IAM best practices
0. Usuarios – Cree usuarios individuales.
1. Permisos – “Least Privilege”.
2. Grupos – Administre permisos con grupos.
3. Condiciones – Restrinja acceso privilegiado con condiciones.
4. Auditoría – Habilite AWS CloudTrail para registrar las llamadas.
5. Contraseñas – Configure una política fuerte.
6. Rotación – Rote regularmente las credenciales de seguridad.
7. MFA – Habilite MFA.
8. Accesso compartido– Use roles IAM para compartir accesos.
9. Roles – Use roles IAM para instancias, containers y funciones.
10. Root – Elimine (o reduzca) el uso de root.

Recursos
AWS IAM - https://aws.amazon.com/iam/
AWS STS - https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html
AWS Organizations - https://aws.amazon.com/organizations/

Demo

Trazabilidad
2

Controles detectivos
Identificar una amenaza potencial de seguridad antes de
que pueda convertirse en un incidente.
Algunas áreas clave:
• Capturar y analizar logs
• Integrar controles de auditoría con notificaciones y flujos
de trabajo /utilice sus logs

Capturar y analizar logs
Asset management
• Describir assets e instancias programáticamente
• Sin dependencia de agentes en instancias
Análisis de logs mediante APIs
• Recolectar, filtrar y analizar con facilidad
• Recolección automática de llamadas a APIs mediante
CloudTrail
• Utilizar CloudWatch Logs o ElasticSearch

Utilice sus logs
No solo recolecte y almacene logs; analícelos con facilidad
mediante CloudWatch Logs & Events:
• Disparar notificaciones
• Automatizar respuestas con Lambda
• Integrar eventos con sistemas de ticketing

Detectar cambios
• Utilizar herramientas nativas tales como AWS Config para detectar cambios
en su ambiente y disparar eventos CloudWatch Events
• Recolectar resultados de Amazon Inspector para asegurar cumplimiento
• Utilizar Amazon GuardDuty para realizar un monitoreo proactivo, detectar
amenazas y accionar consecuentemente

Gestión del cambio

Recursos
AWS Config – https://aws.amazon.com/config/
AWS Config Rules –
https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-
config.html
Amazon Inspector - https://aws.amazon.com/inspector/
Amazon ElasticSearch Service - https://aws.amazon.com/elasticsearch-service/
Amazon CloudWatch Logs - https://aws.amazon.com/cloudwatch/
Amazon Athena – https://aws.amazon.com/athena/
Amazon Glacier – https://aws.amazon.com/glacier/
AWS Lambda – https://aws.amazon.com/lambda/

Defensa en profundidad
3

Defensa en profundidad

Protección de la infraestructura
Protección a nivel de
redes y hosts
Configuración y
gestión de la
seguridad del sistema
Aplicar protección a
nivel de servicio

Protección a nivel de redes y hosts
Consideraciones VPC:
• Subredes para segregar diferentes workloads
• Utilizar NACL’s para prevenir acceso entre subredes
• Utilizar tablas de ruteo para denegar acceso a
Internet desde subredes protegidas.
• Utilizar security groups para otorgar acceso desde y
hacia otros security groups
Minimice servicios en subredes públicas
• ELB/ALB y NLB’s
• Bastion hosts
• Intente y en lo posible evite tener sistemas
accesibles directamente desde Internet
Connectividad externa para propósitos de gestión
• Utilizar VPN gateways a sus sistemas on-premises
• Direct Connect

Configuración y gestión de la seguridad del sistema
Firewall a nivel de S.O.
Escaner de vulnerabilidades - CVE
Escaner de Virus
Remover herramientas innecesarias del S.O.
Quitar acceso directo a máquinas – utilzar en su lugar EC2
system manager
Amazon Inspector para escanear S.O y aplicaciones

Aplicar protección a nivel de servicio
• Utilizar políticas IAM de mínimos privilegios
• Utilizar controles granulares dentro de las políticas
• Observar permisos a nivel servicio (tales como políticas
de buckets de S3)
• Utilizar KMS y definir políticas de acceso de usuarios y
administradores
• Utilizar Secret Manager

Recursos
Amazon VPC – https://aws.amazon.com/vpc/
AWS Direct Connect – https://aws.amazon.com/directconnect/
Amazon Inspector - https://aws.amazon.com/inspector/

Automatizar las mejores prácticas de Seguridad
4

Asegurar mejores prácticas
• Plantillas para todo (CloudFormation, Terraform, etc etc)
• Utilizar pipelines CI/CD
• Establecer reglas personalizadas en AWS Config
• Amazon Inspector para detectar vulnerabilidades
• Automatizar la respuesta ante la detección de
infraestructura fuera de cumplimiento/estándares.

Infraestructura inmutable

Seguridad como Código

Recursos
Amazon VPC – https://aws.amazon.com/
AWS Systems Manager – https://aws.amazon.com/systems-manager/Amazon/
Inspector - https://aws.amazon.com/inspector/
AWS CloudFormation - https://aws.amazon.com/cloudformation/
AWS SAM - https://github.com/awslabs/serverless-application-model
AWS Pipeline - https://aws.amazon.com/codepipeline/
AWS KMS - https://aws.amazon.com/kms/
Terraform - https://www.terraform.io/

Proteger datos (en tránsito y en reposo)
5

Clasificación de datos
Comenzar por la clasificación de datos basados en su sensibilidad :
• Datos públicos = no-encriptada, no-sensible, disponible a cualquiera
• Datos críticos = encriptados, no accesibles directamente desde internet,
requiere autenticación y autorización.
Emplear etiquetas de recursos para facilitar la definición de políticas:
• “DataClassification=CRITICAL”
• Integrar acceso con políticas IAM
Amazon Macie:
Macie puede, de manera automática, descubrir, clasificar y proteger datos
sensibles usando machine learning.

Encripte sus datos

Datos en tránsito
Los endpoints de AWS son HTTPS,
Adicionalmente es conveniente
• Utilizar conexiones VPN hacia la VPC
• Comunicación aplicativa vía TLS
• ELB o CloudFront con ACM

Datos en reposo
Encripción nativa
• S3: seleccionar clave KMS al momento de subir objetos
• Snapshots EBS y RDS: encripción automática de datos en reposo.
• DynamoDB: encripción de datos y backups
Bring your own Key
Encriptar datos de forma local antes de la subida a AWS
SSE-C (encripción del lado del servidor con llave de cliente)

Encripción y tokenización
Tokens permiten representar datos (número de tarjeta de crédito) como un
token.
Generar y recuperar datos encriptados desde un almacén de tokens, tal como
CloudHSM, o encriptar y almacenar datos en DynamoDB.
CloudHSM cumple con PCI-DSS y FIPS

Recursos
AWS KMS - https://aws.amazon.com/kms/
Amazon Macie – https://aws.amazon.com/macie/
AWS Cloud HSM – https://aws.amazon.com/cloudhsm/
Amazon EBS – https://aws.amazon.com/ebs/
S2n - https://github.com/awslabs/s2n

Prepararse para eventos de seguridad
6

Respuesta a incidentes
“Incluso cuando se cuente con una solución de prevención y
detección madura, debe considerarse un plan de mitigación”

Operación de limpieza
• Utilizar tags para rápidamente determinar el impacto y escalar
• Contar con acceso a las personas adecuadas y en guardia
• Utilizar las APIs de AWS para automatizar y aislar instancias
• CloudFormation – recrear un ambiente limpio de forma simple para
propósitos de producción o investigación

Recursos
AWS Well-Architected - https://aws.amazon.com/architecture/well-architected/
Security Pillar - https://d1.awsstatic.com/whitepapers/architecture/AWS-
Security-Pillar.pdf

Gracias
Mauricio Muñoz

Q&A

Asegurando los datos de sus clientes desde el Día 1

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Asegurando los datos de sus clientes desde el Día 1

Similar a Asegurando los datos de sus clientes desde el Día 1 (20)

Más de Amazon Web Services LATAM

Más de Amazon Web Services LATAM (20)

Último

Último (19)

Asegurando los datos de sus clientes desde el Día 1