Este documento presenta una sesión sobre seguridad en la nube para industrias reguladas. Se discuten servicios como AWS Marketplace, AWS Config y Amazon GuardDuty que ayudan con cumplimiento, detección y registro de seguridad. También se mencionan herramientas como Amazon Macie que usa machine learning para prevención de pérdida de datos. El orador concluye enfatizando la importancia de automatización, registros auditables y separación de ambientes para cumplir con estándares de seguridad.
2. ¿Qué esperar de esta sesión?
• Aprender del modelo de seguridad compartida usando AWS
Marketplace
• Aprender de servicios para la detección y registro de seguridad
• Machine learning para DLP (Data Loss Prevention)
• Usar herramientas modernas que resuelvan problemas difíciles del
pasado
4. §
¿Cóm
o
se que software m
e
ayuda a cum
plir con
alguna
regulación
por ejm
plo
PCI?
§ ¿No tengo un cátalo de
Software preaprobado?
§ ¿Necesito HSM?
§
¿cóm
o
Audito
todo
lo
que pasa en
m
i centro
de datos?
§ ¿cómo Automatizo si se
viola alguna politica?
§ ¿Cambio de
configuración?
§ ¿Y si tengo un DDoS?
§ ¿Y si la versión nocompila ?
§ ¿cuáles son las
herramientas modernas
que solucionan los
problemas del pasado?
§
¿Sera necesario tener
un DRP?
§ ¿LOS CONTRATOS
ACTUALES SON
COMPLEJOS?
§ ¿Probar Software que
cumpla.. ? eso tarda
meses?
§ ¿No tengo Especialista
para Instalar cada App?
§ Cumplir con esa
regulación es muy
costoso, se omitirán
algunos puntos
§ Prevención de perdida
de Datos !! Suena
Bonito pero Costoso§ ¿Auditar Logs !! ?
Escasamente los puede
guardar 1 semana !!!
§
¿y
la
seguirdad
y
la
auditoria
?
§ ¿Encriptar o No
Encriptar?
6. AWS Marketplace
buscar, comprar, implementar y administrar software en la nube con pocos
clicks
• Implementar software bajo demanda
• Software provisto por proveedores confiables
“Los clientes de AWS usan más de 481 millones
de horas al mes de Amazon EC2 para los
productos de AWS Marketplace. En general, AWS
Marketplace ofrece 35 categorías y más de 4,200
listas de software de más de 1,400 ISV”
7. La seguridad y el cumplimiento es una responsabilidad compartida
CUSTOMER DATA
PLATFORM, APPLICATIONS, IDENTITY & ACCESS MANAGEMENT
OPERATING SYSTEM, NETWORK & FIREWALL CONFIGURATION
CLIENT-SIDE DATA
ENCRYPTION &
DATA INTEGRITY
AUTHENTICATION
SERVER-SIDE ENCRYPTION
(FILE SYSTEM
AND/OR DATA)
NETWORK TRAFFIC
PROTECTION
(ENCRYPTION/
INTEGRITY/IDENTITY)
COMPUTE STORAGE DATABASE NETWORKINGAWS GLOBAL
INFRASTRUCTURE
º
REGIONS
EDGE LOCATIONS
AVAILABILITY ZONES
Cliente
Responsable
de la
seguridad
EN la nube
AWS
Responsible
de la
seguridad
DE la nube
9. Soluciones de seguridad en el Marketplace de AWS
Además de que la nube de AWS ya es segura, el
Marketplace de AWS ofrece soluciones de seguridad
líderes en la industria para ayudarlo a proteger
sistemas operativos, plataformas, aplicaciones y datos
que se pueden integrar con los controles existentes en
su nube de AWS y entornos híbridos.
• Despliegue cuando lo necesite, Despliegue con un solo
clic en múltiples regiones del mundo
• Listo para correr en AWS, tanto preconfigurado como
personalizable para sus necesidades
• Precios medidos por hora. Pague solo por lo que usa.
Licencia por volumen disponible
Mantenga sus aplicaciones y datos a
salvo de las amenazas
Controle todas las actividades en su
infraestructura de aplicaciones
Descubre las vulnerabilidades dentro de
tus aplicaciones y obtén consejos de
expertos de remediación
Mantenga sus datos a salvo de la
divulgación y modificaciones no
autorizadas
INFRASTRUCTURE
SECURITY
LOGGING
& MONITORING
CONFIGURATION &
VULNERABILITY ANALYSIS
DATA
PROTECTION
10. AWS Identity & Access
Management (IAM)
AWS Organizations
AWS Cognito
AWS Directory Service
AWS Single Sign-On
AWS CloudTrail
AWS Config
Amazon GuardDuty
VPC Flow Logs
Amazon
CloudWatch
Amazon EC2
Systems Manager
AWS Shield
AWS Web Application
Firewall (WAF)
Amazon Inspector
Amazon Virtual Private
Cloud (VPC)
AWS Key Management
Service (KMS)
AWS CloudHSM
Amazon Macie
Certificate Manager
Server Side Encryption
AWS Config Rules
AWS Lambda
Identidad Detección y
registro
Infraestructura de
seguridad
Respuesta a
incidentes
Protección de
datos
Soluciones de Seguridad de AWS
11. Herramientas de detección y registro de AWS
Detección y registro
• AWS CloudTrail
• AWS Config & Config Rules
• Amazon GuardDuty
• VPC Flow Logs
• Amazon
CloudWatch
12. AWS CloudTrail
• Aumenta la visibilidad de sus usuarios y actividad de recursos
• Descubra y solucione problemas de seguridad y operativos registrando la
actividad que ocurrió
• Simplifique sus auditorías registrando y almacenando automáticamente las
bitácoras de actividades
13. Usos comunes de AWS CloudTrail
• Ejemplos:
• Obtenga visibilidad sobre el uso de las credenciales root
• Detecte el acceso a información sensible desde redes o
direcciones IP no autorizadas
• Solucione problemas de permisos mal configurados en sus
aplicaciones
15. AWS Config & Config Rules
• Servicio de registro y evaluación continua
• Seguimiento de cambios a la configuración en los recursos AWS
• Notifica en caso de que la configuración no cumpla sus políticas
Recursos cambiantes
AWS Config
Config Rules
Histórico, Snapshot
Notificaciones
Accesos API
Normalizados
18. Dance like no one’s watching;
Encrypt like everyone is!
E N C R Y P T I O N + A W S C o n f i g
19. Detección inteligente de amenazas y monitoreo
continuo para proteger sus cuentas AWS y cargas de
trabajo
Amazon GuardDuty
Encuentre la aguja(amenazas) en el pajar (oceano de logs)
21. Amazon GuardDuty: Beneficios
• Servicio administrado de detección de amenazas
• Activación sencilla con un clic sin impacto arquitectónico o de rendimiento
• Monitoreo continuo de cuentas y recursos de AWS
• Descubra las amenazas relacionadas con EC2 y IAM
• Al instante proporciona hallazgos, en minutos!!
• Sin agentes, sin sensores, sin dispositivos de red
• Cobertura global, resultados regionales
• Detección de anomalías incorporada con aprendizaje automático
• Integraciones de socios para protecciones adicionales
• Precios simples y rentables
25. Amazon Macie es un servicio de seguridad de datos que utiliza Machine
Learning y que automatiza el descubrimiento, la clasificación y la
protección de los datos almacenados en Amazon S3.
Amazon Macie utiliza el Machine Learning para proporcionar visibilidad
y seguridad de sus datos, monitoreando continuamente y alertando
sobre datos desprotegidos y actividades sospechosas.
Amazon Macie
26. Macie Clasificación de contenido
• Datos personales
• Código fuente
• Certificados SSL, claves privadas
• Copias de seguridad
• OAuth y Cloud SAAS API Keys
Amazon Macie Beneficios
Visibilidad de Datos
27. "Una de las cosas que ha hecho la nube es
democratizar el acceso al poder de la tecnología". En
la nube, todos pueden tener un datawarehouse y
todos obtienen exactamente el mismo acceso al
poder de computo”.
Werner Vogels
CTO, Amazon Web Services
28. Seguridad en la nube para industrias reguladas
Aplique el principio del menor
privilegio
Deje que herramientas
modernas resuelvan
problemas difíciles del pasado
Conozca los estándares y sepa
con que herramientas puede
cumplir
Tenga todo documentado y registrado
sus auditores lo agradecerán
Automatice usando Infraestructura como
Código
30. Gratis y para todos
Paga y comparte gastos con
tus contactos
Compra en comercios
internacionales sin comisión
Recarga y retira dinero al
instante sin comisiones
31. Private Subnet
Public Subnet
AWS ELBAWS WAF
Fácil de implementar
Reglas pre-cocinadas
Altamente configurable
Efecto inmediato
Sin overhead en casi todos
los sentidos*
Administrado y Garantizado por AWS