2. Principales mitos de
seguridad en AWS!
Eliminados!
A l e j a n d r o P l a n a s
E s c a l a 2 4 x 7
M a n a g i n g P a r t n e r
A l b e r t o O r t i z
A W S
T A M
4. Tres etapas de la curiosidad sobre seguridad
en la nube
Seguridad en la nube
en general
Seguridad en un
servicio específico
Seguridad
de datos
Nuevo en la nube
y/o usuarios de
negocio
Experiencia en la nube
y/o equipos de
tecnología
Equipos de riesgo y/o
uso avanzado de la
nube
6. Mito 01
“La nube pública no es tan segura
como mi infraestructura on-premises
y no es tan segura como mi nube
privada”
7. 01: AWS seguridad de la nube y en la nube
Visibilidad AutomatizaciónFísica
La infraestructura global de AWS está construida para cumplir los
requerimientos de las organizaciones que son más sensibles a la seguridad
en el mundo
8. Mito 02
“Cuando ponga mis datos en la nube
pierdo propiedad de ellos y tal vez
se muevan a través de diferentes
países.”
9. 02: Tú eres dueño y controlas el contenido
Acceso RastreabilidadPropiedad
Tú retienes la propiedad y control del contenido, y decides en qué región
residirá
10. Mito 03
“Soy un negocio altamente
regulado y no puedo usar la nube
por mis requerimientos de
cumplimiento legales.”
11. 03: AWS programa global de cumplimiento
Países Acuerdo
empresarial
Certificaciones
Nuestro programa de aseguramiento de seguridad cumple o excede
requerimientos de seguridad de país o globales
12.
13. Mito 04
“Mi negocio requiere datos
personales confidenciales, no
puedo usar la nube.”
14. 04: Encripción en AWS
AWS KMS Altos
estándares
Ubicua
Los servicios de encripción de AWS están integrados en docenas de
nuestros servicios y cumplen los requerimientos de industria más estrictos
16. 05: Pruebas de seguridad en AWS
Pedir
aprobación
Uso pre-
aprobado
Responsabilidad
compartida
AWS permite pruebas de seguridad de tus recursos apegadas con nuestra
política de uso aceptable y proveemos las herramientas para ayudar
17. Parte 2: Seguridad en servicios específicos
Seguridad en la
nube
Seguridad en
servicios
Seguridad
de datos
18. Mito 06
“Todos mis sistemas operativos son
parchados automáticamente en la
nube.”
19. 06: Gestión de parches en AWS
Cómo
ayudamos
Nuestra
responsabilidad
Tu
responsabilidad
Tú eres responsable del parcheo del sistema operativo de tus instancias.
AWS es responsable del parcheo de servicios que maneja.
20. Mito 07
“No puedo usar la nube para
almacenar datos confidenciales
porque todos tendrán acceso a
ellos.”
21. 07: Cómo asegurar datos en Amazon S3
Notificar ResponderProteger
Amazon S3 y otros servicios de almacenamiento son seguros por default.
Los clientes controlan quien puede acceder los datos y AWS provee
múltiples herramientas para que tu puedas entender como está
configurado el acceso.
22. Mito 08
“Escucho que las claves secretas
son robadas, la forma en que
ustedes otorgan el acceso no es
seguro.”
23. 08: ¿Cómo proteger credenciales de AWS?
Amazon
GuardDuty
Autenticación
multi-factor
AWS provee muchas herramientas para proteger tus credenciales de
identidad y acceso para detectar mal uso
Acceso temporal
24. Mito 09
“No puedo controlar la eliminación
de mis datos y no puedo verificar
que se hayan eliminado.”
25. 09: ¿Cómo AWS maneja el borrado de datos?
Físico ValidadoLógico
Cuando tu borras datos nosotros tomamos múltiples pasos para eliminarlos
completamente y eventualmente destruirlos. Este proceso es validado por
terceros independientes.
27. 10: ¿Cómo AWS protege serverless?
Identidad Superficie
limitada
Cuando tu usas servicios Serverless de AWS heredas las múltiples capas de
controles estrictos de seguridad que están construidos en nuestros servicios
principales.
Bloques
32. 11: ¿Cómo AWS maneja peticiones de información?
Notificación EncripciónPeticiones
válidas
Amazon no revela información de clientes a menos que sea requerido para
cumplir con una orden legalmente válida y vinculante. Cuando podemos
actuar para proteger a nuestros clientes, lo hacemos.
33. Mito 12
“Un usuario malintencionado
puede ver mis datos a través de su
acceso administrativo compartido.”
34. 12: ¿Cómo AWS maneja acceso administrativo?
Controles de
proceso
Controles de
tecnología
AWS controla estrictamente accesos administrativos a los servicios. Este
proceso tiene supervisión ejecutiva dentro de AWS y es validado por
terceros independientes.
Automatización
35. Mito 13
“Es posible pasar por alto su tecnología de
aislamiento y acceder a los datos de otra
persona.”
36. 13: ¿Cómo AWS asegura el hypervisor?
Experiencia
AWS tiene más d 10 años de experiencia asegurando nuestra tecnología de
virtualización. Nosotros proveemos un alto nivel de aislamiento dentro de
la nube.
Personalización
e Innovación
Aislamiento
38. Beneficios de seguridad en la nube de AWS
Automatización
con integración
profunda a
servicios de
seguridad
Hereda
seguridad y
controles de
cumplimiento
globales
Estándares mas
altos para
privacidad y
seguridad en
datos
Red mas amplia
de partners de
seguridad y
soluciones
Escala con
mayor
visibilidad y
control
39. Niveles de defensa usando servicios de AWS
Amazon SNS Amazon SNS
Operación Supervisión Auditoría
40. Recomendaciones
• Utilice un Consulting Partner (Advanced+) con foco en
Seguridad.
• Conozca el Modelo de Responsabilidad Compartida
• Entienda la Infraestructura Global AWS: Regiones, AZs
• Utilice IAM
• Nunca utilizar credenciales de root de la cuenta
• Principio de menor privilegio -> Grupos/Roles/Política
• Delegar con roles con credenciales temporales
• Usar siempre MFA
41. Recomendaciones
• Asegure sus datos con restricción acceso vía IAM
• Encripte sus datos en movimiento y en reposo con
KMS/CloudHSM
• Arquitectura correcta: use VPC, conexión privada, subredes
• Cloudwatch Logs para colectar logs de todo tipo
• Rastreo y logs de llamadas a API con CloudTrail
• Inventario de recursos de AWS en tiempo real con AWS Config