Prácticas para aumentar su nivel de seguridad en la Nube AWS

1. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Mauricio Muñoz
Principal Solutions Architect
Prácticas para aumentar su
nivel de seguridad en la
Nube

2. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Bienvenidos
- Agenda
- Q&A
- Canal Youtube – Amazon Web Services Latin
America
- Encuesta

3. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Modelo de responsabilidad compartida
https://aws.amazon.com/es/compliance/shared-responsibility-model

4. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
¿Cuáles son buenas prácticas
de seguridad en la Nube
AWS?

5. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Accesos Visibilidad y Control
Protección y
Automatización
Evolución
Tiempo
Etapas
1. Segregación de acceso con
múltiples cuentas.
2. Integración con repositorio
de usuarios (AD).
3. Centralización de perfiles de
acceso.
4. Control de acceso a
servidores
5. Registros de log protegidos
y centralizados
1. Implementación y
monitoreo de estándares
de seguridad y ataques a
las cuentas.
2. Monitoreo centralizado de
seguridad.
3. Generación de alertas de
conformidad.
4. Escaneo de
vulnerabilidades en
instancias EC2.
1. Protección de buckets
S3.
2. Integración CI/CD.
3. DevSecOps.
4. Seguridad de
aplicación.
5. Automatización de
seguridad.
6. Identificación y
protección de datos
críticos.
7. WAF
8. Seguridad como código
(Automation)

6. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
1. Protección de buckets S3.
2. Integración CI/CD.
3. DevSecOps.
4. Seguridad de aplicación.
5. Automatización de
seguridad.
6. Identificación y protección
de datos críticos.
7. WAF
8. Seguridad como código
(Automation)
Accesos Visibilidad y Control
Protección y
Automatización
Evolución
Tiempo
Etapas
1. Segregación de acceso con
múltiples cuentas.
2. Integración con repositorio
de usuarios (AD).
3. Centralización de perfiles de
acceso.
4. Control de acceso a
servidores
5. Registros de log protegidos
y centralizados
1. Implementación y monitoreo
de estándares de seguridad y
ataques a las cuentas.
2. Monitoreo centralizado de
seguridad.
3. Generación de alertas de
conformidad.
4. Escaneo de vulnerabilidades en
instancias EC2.
Org IAM SSO System
Manager
Directory
Service

7. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
ACCESOS
¿Cuáles servicios voy a permitir en cada
cuenta?

8. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Etapa 1 - Modelo de múltiples cuentas
AWS Organizations
• Cuenta Master
• Producción
• Desarrollo
• Pruebas
• Seguridad
• Sandbox
• Control de acceso a los servicios
• Aislamiento lógico de diferentes ambientes
• Aplicación de políticas centralizadas de seguridad

9. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Políticas combinadas de seguridad
Allow: EC2:*Allow: S3:* Allow: SQS:*
Allow: EC2:*Allow: EC2:*
SCP IAM
permissions
AWS Organizations + IAM

10. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Ejemplo de casos de uso
1. Solamente la cuenta de seguridad (equipo de seguridad) debe
tener acceso la los servicios de seguridad (como CloudTrail,
SecurityHub, GuardDuty, Inspector).
2. En la cuenta de producción solo se permiten los servicios
homologados para utilización.
3. Negar la posibilidad de eliminar S3 API Public Block access en
producción.
4. Cuenta de sandboxing con acceso completo a servicios, menos
a los de seguridad.

11. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Y en la práctica ...
AWS Organizations
DENY
Security
Services
Permited- Services
ALLOW – ALL
DENY - S3
Public
ALLOW – ALL
DENY
Security
Services

12. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
ACCESOS
Y, ¿Cómo autenticamos usuarios?

13. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Arquitectura del modelo de múltiples cuentas
AWS Directory Service
Dev
Sandbox Test
Prod
Acceso con
perfiles limitados
OCTANK - CORP
ADMINS DBA Security Audit … … …
AWS SSO
AWS SSO

14. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Arquitectura del modelo de múltiples cuentas
AWS Directory Service
• admin1
• dba1
• mauricio
• auditor1
Dev
Sandbox Test
Prod
Acceso con
perfiles limitados
AWS_ADMIN
AWS SSO + AWS DS +Organizations Mapping
AWS SSO
User Groups
AWS_DBA
AWS_SECURITY
AWS_AUDITOR
Security
Profiles
Cuentas Organizations
Database Administrator
System Administrator
Administrator Access
Security Audit

15. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
ACCESOS
¿ Cómo controlar el acceso
administrativo a las instancias?

16. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Controlando accesos administrativos (consola)
1 Autenticación fuerte + Menor privilegio.
2 Acceso restringido a los servidores.
3 Auditoría de los comandos executados.
4 Archivos de auditoria cifrados y protegidos.
5 El mismo servicio puede ser usado para
ambiente on-premise.
1
2
3
4
4
Session
Manager
Session Manager
5

17. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Arquitectura del modelo de múltiples cuentas
AWS Directory Service
mauricio-ssh1
Dev
Sandbox Test
Prod
AWS_SSH_PROD
System Manager + AWS SSO + AWS DS + Organizations Mapping
AWS SSO
User Groups
Security
Profiles
Cuentas Organizations
SSH_ACCESS_PROD
System
Manager

18. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Controlando accesos administrativos
Session Manager

19. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Accesos
En resumen – Beneficios en la fase de acceso
1. Perfiles de acceso definidos y controlados de forma centralizada.
2. Control centralizado de acceso a servicios no autorizados.
3. Integración con base autoritativa existente.
4. MFA por contexto.
5. Control de accesos administrativos (por consola) a servidores, con
logs protegidos.

20. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Accesos Visibilidad y Control
Protección y
Automatización
Evolución
Tiempo
Etapas
1. Segregación de acceso con
múltiples cuentas.
2. Integración con repositorio
de usuarios (AD).
3. Centralización de perfiles de
acceso.
4. Control de acceso la
servidores
5. Registros de log protegidos
y centralizados
1. Implementación y
monitoreo de
estándares de
seguridad y ataques la
las cuentas.
2. Monitoreo centralizado
de seguridad.
3. Generación de alertas
de en el conformidad.
4. Escaneo de
vulnerabilidades en
instancias EC2.
1. Protección de buckets
S3.
2. Integración CI/CD.
3. DevSecOps.
4. Seguridad de
aplicación.
5. Automatización de
seguridad.
6. Identificación y
protección de datos
críticos.
7. WAF
8. Seguridad como código
(Automation)
GuardDutyLog Insight Inspector Security
Hub
CloudTrail

21. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
VISIBILIDADY CONTROL
Mantener y proteger los logs

22. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Centralización de logs de seguridad
Prod
Accounts
AWS Organizations Master
Dev
Sandboxing
Test Security
1. Logs protegidos contra borrado.
2. Encriptados.
3. Validación de integridad.
https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-intro.html
CloudTrail

23. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
VISIBILIDADY CONTROL
¿Cómo detectar intentos de ataque y
anomalías en mis ambientesAWS?

24. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Tipos de ataques detectados
Fuerza
Bruta
RDP
RAT
Instalado
Exfiltración
de
credenciales
por DNS
Llamadas
maliciosas
de APIs
Credenciales
Comprometidas
Reconocimiento
Puertas no comunes
Exfiltración DNS
IPs maliciosos
Conexión con sitios en
Blacklist
Volumen inusual de
tráfico
Proxy
Anónimo
Inicio no usual de
instâncias
Llamada de ISP no
usual
Mineración
Bitcoin
GuardDuty

25. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Classificación de alertas y ameaças
BAJO MEDIO ALTO
Actividad sospechosa o
maliciosa bloqueada antes de
comprometimento
Actividad sospechosa que se
desvía del comportamento
normalmente observado
Recurso comprometido y
activamente usado para fines
no autorizados
Tomar acción Imediata
• Aisle la instancia.
• Rote las llaves.
• Ejecute un processo de análisis
forense detallado y busque la
causa raíz del problema.
• Provisione un nuevo recurso,
seguro y confiable.
Investigar más
• Verificar software nuevo que
pudo alterar el
comportamiento.
• Verificar alteraciones en las
configuraciones.
• Detectar software no
autorizado y evaluar los
permisos IAM.
Apenas para información
• No hay necesidad de tomar
acciones inmediatas, sin
embargo tenga en cuenta la
información para evaluación
futura.
GuardDuty

26. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Centralización y protección de eventos
AWS Cloud
MASTER
AWS Cloud
Producción
AWS Cloud
Desarrollo
AWS Cloud
Seguridad
AWS Cloud
Test
AWS Cloud
Sandboxing
GuardDuty

27. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Máquina comprometida, detección y respuesta
AWS Cloud
MASTER
AWS Cloud
Producción
AWS Cloud
Desarrollo
AWS Cloud
Seguridad
AWS Cloud
Test
AWS Cloud
Sandboxing
GuardDuty

28. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
AWS Cloud
Desarrollo
AWS Cloud
seguridad
• Protección de eventos
• Centralización
• Respuesta estándar
34.230.142.134
172.16.0.29172.16.0.11
172.16.0.26
172.16.0.28
Máquina comprometida, detección y resposta
GuardDuty
https://github.com/awslabs/amazon-guardduty-tester/blob/master/guardduty_tester.sh

29. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Integración con Slack
GuardDuty
GuardDuty CloudWatch
Events
Lambda Slack
DNS
CloudTrail
VPC Flow

30. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
VISIBILIDADY CONTROL
¿Cómo evaluar conformidad
y centralizar informaciones de seguridad
de mis cuentas AWS?

31. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Necessidade de
um painel
unificado de
segurança
Grande volume de
alertas que
precisam ser
priorizados
Dezenas de
ferramentas de
segurança com
diferentes
formatos
1 2 3
Assegurar que sua
infraestrutura da
AWS atenda aos
requisitos de
conformidade
4
Priorização MúltiplosformatosVisibilidade Conformidade
Single pane of glass
Security Hub
ConformidadPriorizaciónVisibilidad Múltiples formatos
Ventanilla única
de seguridad
Priorización de un
alto volumen de
alertas
Múltiples
herramientas y
múltiples
formatos
Verificar el
cumplimiento de
requisitos

32. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark

33. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Consumo de fuentes de datos
Entendiendo su estado de
seguridad y conformidad en AWS
Security Hub
Security Hub
InspectorGuardDuty
Macie Compliance
Checks

34. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
AWS Cloud
MASTER
Centralización y protección de eventos
AWS Cloud
Producción
AWS Cloud
Desarrollo
AWS Cloud
Seguridad
AWS Cloud
Test
AWS Cloud
Sandboxing
Security Hub

35. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Demo
Security Hub

36. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Visibilidad y Control
En resumen – Beneficios en la fase de visibilidad y control
1. Visibilidad de activos y recursos utilizados en prácticamente tiempo
real.
2. Monitoreo y detección de anomalías y ataques en pocos clicks.
3. Evaluación centralizada del nivel de conformidad y seguridad de
cuentas.
4. Toma de decisión estratégica de seguridad en un único punto
(Dashboard).
5. Mejor visibilidad y control, con menor esfuerzo y costo.

37. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Accesos Visibilidad y Control
Protección y
Automatización
Evolución
Tiempo
Etapas
1. Segregación de acceso con
múltiples cuentas.
2. Integración con repositorio
de usuarios (AD).
3. Centralización de perfiles de
acceso.
4. Control de acceso la
servidores
5. Registros de log protegidos
y centralizados
1. Implementación y
monitoreo de estándares
de seguridad y ataques la
las cuentas.
2. Monitoreo centralizado de
seguridad.
3. Generación de alertas de
en el conformidad.
4. Escaneo de
vulnerabilidades en
instancias EC2.
1. Protección de
buckets S3.
2. Integración CI/CD.
3. DevSecOps.
4. Seguridad de
aplicación.
5. Automatización de
seguridad.
6. Identificación y
protección de datos
críticos.
7. WAF
8. Seguridad como
código (Automation)

38. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Automatización de procesos de seguridad
GuardDuty
https://github.com/aws-samples/amazon-guardduty-hands-on

39. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Automatización de procesos de seguridad
GuardDuty - Blacklist

40. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Automatización de procesos de seguridad
GuardDuty - Findings
Pista:
dig GuardDutyC2ActivityB.com any  Backdoor:EC2/C&CActivity.B!DNS

41. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Automatización de procesos de seguridad
GuardDuty – CloudWatch Event + Acciones

42. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Automatización de procesos de seguridad
GuardDuty – Acción SNS

43. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Automatización de procesos de seguridad
GuardDuty – Acción Lambda

44. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Automatización de procesos de seguridad
GuardDuty – Resultado: Instancia aislada

45. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Automatización de procesos de seguridad
GuardDuty – Resultado: Instancia aislada

46. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Visibilidad y Control
En resumen – Beneficios en la fase de automatización
1. Escalabilidad de las acciones de seguridad.
2. Reducción de riesgo operacional (en virtud de acciones manuales de
respuesta).
3. Creación de más inteligencia y estandarización de procesos de
seguridad.
4. Security by Design (Seguridad como código).

47. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Accesos
Visibilidad y Control
Automatización

48. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
¡Muchas gracias!
https://aws.amazon.con/security/
https://aws.amazon.con/compliance/