Mirá el video de esta presentación! https://youtu.be/rLnjZjyh6EY
¿Qué aprendimos en este capítulo?
-Controles robustos de autenticación y autorización
- Implementación de auditoria y respuesta rápida a eventos de seguridad
- Buenas practicas de protección de infraestructura y datos
3. Nuestros servicios:
● Ingeniería y arquitectura cloud
● Servicios DevOps
● Administración de infraestructura
● Monitoreo y soporte
● Desarrollo web y mobile
Sobre DinoCloud
4. Objetivos del capítulo
1. Entender el enfoque de Well Architected Framework.
2. Introducir los principio de seguridad en el cloud.
3. Revisar estrategias de implementación.
4. Mostrar que ofrece AWS para cada principio.
6. Well Architected Framework
Es un herramienta nos ayuda a poner nuestras cargas de trabajo bajo
revisión y las compara contra las practicas recomendadas por AWS.
Se ha utilizado para evaluar cientos de soluciones en la nube, por lo que
ofrece un marco consistente de recomendaciones validadas de
arquitecturas en la nube.
8. Principios de Diseño
1. Implementación de identidades.
2. Habilitar trazabilidad.
3. Aplicar seguridad en todas las capas.
4. Automatizar las buenas practicas .
5. Proteger los datos en transito y en reposo.
6. Mantener a las personas lejos de los datos.
7. Prepararse para los eventos de seguridad.
9. Security in the cloud
● Manejo de identidades y accesos
● Detective Controls
● Protección de la infraestructura
● Protección de los datos
● Respuesta a incidentes
10. Manejo de identidades y accesos
Definir Accesos
IAM User
• Forzar MFA
• Forzar políticas de
passwords
• Definir Roles
• Considerar
Federación
IAM Groups
• Agrupación lógica
de usuarios
• Asignar políticas
IAM Roles
• Roles que los
usuarios puedan
asumir
• Acceso cross-
account
IAM Policies
• Menos privilegio
posible
• Condiciones
11. Manejo de identidades y accesos
Protecting AWS credentials
Less-privileged users and role-based access.
No use root para tareas de administración cotidianas
Multi-factor authentication (MFA)
Un usar keys hasta completar la definición de cuentas inicial..
Fine-grained authorization.
Definir los roles y responsabilidades para los usuario y las aplicaciones que esas
interactuando con AWS.
12. Manejo de identidades y accesos
Organizations
• Consolidar la facturación en varias cuentas de AWS
• Automatizar la creación y administración de cuentas de AWS
• Controlar el acceso a los recursos, los servicios y las regiones de AWS
• Administrar políticas de manera centralizada en varias cuentas de AWS
• Configurar servicios de AWS en varias cuentas
Service Control Policy ≠ IAM Policy
15. Permitir Trazabilidad
Identificar posibles amenazas y accionar
• Capturar y analizar logs.
• Integrar controles de auditoria con notificaciones y acciones, usar los logs
16. Habilitar Trazabilidad
Análisis continuo
Detección inteligente usando
AWS Security o Terceros.
Toma Acciones
Captura actividad de usuario y
apis.
Almacena en S3 o CloudWatch.
Toma acciones, usando
CloudWatch alarm and events.
Auditar y evaluar
continuamente la conformidad
Permite definir dependencia
entre recursos.
Detecta cambios en los
recursos.
Notifica, Almacena y puede
accionar a través de
CloudWatch
17. Habilitar Trazabilidad
Explorar logs en forma
consistente.
Integración con otros
servicios de AWS
Colectar logs de recursos de AWS,
Aplicaciones, Servicios en AWS o On-
premise
Visualizar en dashboards
Alertas con alarmas de CloudWatch
Alarms
Tomar Acciones con CloudWatch Events
o Autoscaling
Permite tomar acciones
automatizadas
Integración con otros servicios
de AWS (Lambda, Kinesis, AWS
Batch, CodePipeline, CodeBuild,
SNS, SQS)
18. Aplicar seguridad en todas las capas
• Proteger networking e instancias.
• Configuración de sistemas de seguridad y mantenimiento
• Garantizar los niveles de servicios
19. Aplicar seguridad en todas las capas
VPC
• Planear las necesidades de networking
• Corresponder capas con subredes
• Usan NACLs para restringir acceso entre redes
• Tablas de routeo para controlar el acceso a internet.
• Usar security groups, para acceso a nivel de instancia
20. Aplicar seguridad en todas las capas
VPC Peering
Permitir conectividad entre VPCs de misma cuenta o distintas
VPC EndPoints
Permitir conectividad entre VPCs de misma cuenta o distintas
VPN
Conexiones seguras a nuestros recursos desde fuera.
21. Aplicar seguridad en todas las capas
AWS Shield
Es un servicio manejado de prevención de denegación de servicio (DDoS), que
principalmente cuida las aplicaciones web desplegadas en AWS
UDP flood attack
SYN floods
HTTP GET o POST floods
DSN flood attack
22. Protección de la infraestructura
AWS WAF
Protege aplicaciones web de ataques, aplicando reglas para filtrar el trafico.
Bad bots
SQL Injection
Cross-site scripting (XSS)
HTTP Floods
Known attacker attacks
Web Scraping
23. Aplicar seguridad en todas las capas
Host-Based Security
Las solución de Intrusion Detection & Prevention Systems, ayudan a proteger las
instancias, usando agentes instalados en ellas.
• Comportamiento malicioso
• Violación de policies
• Tomar acciones contra ataques
24. Automatizar las buenas practicas de seguridad
• Use infraestructura como código
• Findings and remediation
• Automate Paching Management
25. Automatizar las buenas practicas de seguridad
Amazon Inspector
• Scan de CVE (Common Vulnerabilities and Exposures)
• Reachability – Configuración de red, en busca de
vulnerabilidades
• Runtime Behavior Analysis
• Security Best Practices
26. Automatizar las buenas practicas de seguridad
AWS System Management
• Automatizar el patching de instancias.
• Remplazar Bastion por sesiones auditables.
• Definir y auditar baseline de configuración.
27. Automatizar las buenas practicas de seguridad
Cloud Formation
• Escribir todo como código.
• Usar pipelines para creación y mantenimiento
• Chequeo automatizado de seguridad
• Revisión de baseline de configuración.
28. Protección de datos en transito y reposo
• Clasificación de datos
• Proteger datos en reposo
• Proteger datos en transito
• Backup / Replicación / Recovery
29. Protección de datos en transito y reposo
Clasificar la información basada en su sensibilidad
• Información publica, disponible para todo el
mundo
• Información critica, encriptada y almacenada de
forma que se requiera acceso autorizado a la key
para desencriptarla.
30. Protección de datos en transito y reposo
Combinamos KMS y IAM para lograr
seguridad en reposo.
• Control centralizado de las claves de
cifrado que se utilizan para proteger los
datos.
• Integrado con los servicios de AWS.
31. Protección de datos en transito y reposo
Protección de información en transito.
• Comunicaciones entre recursos.
• Comunicaciones entre servicios y usuarios.
• Transport Layer Security (TLS)
• VPN
AWS Certificate Manager (ACM) provee la capacidad de
manejar y desplegar certificados
32. Mantener las personas lejos de los datos
• Remover acceso a EC2
• Implementar controles los mas granular posible
• Usar herramientas para visualizar la información, no
acceso a la información en si.
• Cambio en la infraestructura, como código,
• Automatizar el acceso a la información.
33. Prepararse para los eventos de seguridad
Clean Room
• Plantear diversos escenarios. playbooks
• Aplicar tags a recursos para estimar impacto.
• Crear automáticamente entornos para investigación
forense.