AWS ofrece varias certificaciones y controles de seguridad para proteger la información de los clientes, incluyendo certificaciones ISO 27001, SOC 1, SOC 2 y PCI DSS Nivel 1. Los controles de seguridad incluyen el acceso físico restringido a los centros de datos, la autenticación multifactor, los grupos de seguridad y las listas de control de acceso de red para controlar el tráfico de red. AWS también recomienda que los clientes implementen arquitecturas de seguridad en varias capas y usen instancias dedicadas

1. Seguridad en la nube AWS
Henry Alvarado
Solutions Architect

2. Responsabilidad compartida
• Instalaciones
• Seguridad Física
• Infraestructura Física
• Infraestructura de Red
• Infraestructura de Virtualización
AWS Cliente
• Sistema Operativo
• Aplicación
• Reglas de Firewall (SG)
• Firewall del Sistema Operativo
• Configuración de Red
• Administración de cuentas

3. Certificaciones AWS

4. Certificaciones AWS
• Basadas en el modelo de responsabilidad compartida
• Ambiente AWS
– SOC 1 (SSAE 16 & ISAE 3204) Type II Audit (was SAS70)
– SOC 2 Audit
– SOC 3 Audit (Nuevo desde 2013)
– ISO 27001 (Certificación)
– Payment Card Industry Data Security Standard (PCI DSS) Level 1 Service Provider
– FedRAMP (FISMA), ITAR, FIPS 140-2

5. Clientes implementaron varias aplicaciones
certificadas:
– Sarbanes-Oxley (SOX)
– HIPAA (healthcare)
– FISMA (US Federal Government)
– DIACAP MAC III Sensitive IATO
Certificación AWS

6. Iniciativas Adicionales
• Cuestionario del “Cloud Security Alliance” (CSA)
– Respuesta en “Risk and Compliance Whitepaper”
• Motion Picture Association of America (MPAA)
– Mejores prácticas para almacenar, procesar y distribuir contenido.

7. Certificación ISO 27001
• ISO 27001/27002 certificación alcanzada 11/2010
• Sigue ISO 27002 guía de mejores prácticas
• Cubre el AWS “Information Security Management System” (ISMS)
• Cubre EC2, S3, VPC, EBS, RDS, DynamoDB, VM Import/Export, Direct
Connect, Storage Gateway, Glacier, EMR, Elastichache, Redshift e IAM
• Auditoría de 3 años; auditoría actualizada cada 12 meses.
• Incluye todas las regiones.

8. PCI DSS Level 1 Service Provider
• PCI DSS 2.0 compliant (Level 1 is >300,000 transactions/year)
• Inicialmente 4 servicios – ahora 14 servicios en el alcance
(Ago 2013):
– EC2, EBS, S3, VPC, RDS, ELB, IAM, Glacier, Direct Connect,
DynamoDB, SimpleDB, Elastic Map Reduce, and new in 2013:
CloudHSM, Redshift
• Certificada en todas las regiones AWS
• Ciclo de actualización es anual

9. Cómo AWS lo logró?

10. Seguridad Física de los Datacenters
• Amazon ha construido datacenters de gran escala por muchos años
• Atributos importantes:
– Instalaciones / datacenters no divulgados públicamente
– Robustos controles de perímetro
– Estricto control de acceso físico
– 2 o mas niveles de autenticación “two-factor”
• Acceso altamente controlado (“need-basis”)
• Todo acceso es registrado y revisado
• Separación de papeles
– Empleados con acceso físico no poseen acceso lógico.

11. Gestión de configuración AWS
• La mayor parte de las actualizaciones son hechas de forma que no impacten al
usuario.
• Los cambios son autorizados, registrados, probados, aprobados y documentados.
• AWS comunicará vía email o a través del AWS Service Health Dashboard
(http://status.aws.amazon.com/) cuando exista una posibilidad de afectar a los
clientes.
Los clientes son responsables por el control de cambios en sus ambientes!

12. • Sistema Operativo del Host (debajo del hypervisor)
– Accesos individuales SSH con llave, usando Bastion Host para administradores AWS.
– Todo acceso es registrado y auditado.
• Guest (a.k.a. Instancia) Sistema Operativo
– Controlado por el cliente (credenciales root/administrator son del cliente)
– Administradores AWS no poseen credenciales de acceso.
– Par de llaves generadas y administradas por el cliente
• Firewall Stateful
– Firewall de entrada es obligatorio, por defecto todo acceso es negado (En VPC también existe firewall de
salida)
– El cliente controla la configuración de los firewalls a través de los Security Groups
• Signed API calls
– Es necesario usar certificado X.509 o las Secret Keys del usuario.
Seguridad en EC2

13. Interfaces Físicas
Cliente 1
Hypervisor
Cliente 2 Cliente n…
…
Interfaces Virtuales
Firewall
Cliente 1
Security Groups
Cliente 2
Security Groups
Cliente n
Security Groups
Amazon EC2 Instance Isolation

14. • Todo dispositivo de almacenamiento debe pasar
por este proceso.
• Técnicas utilizadas:
– DoD 5220.22-M (“National Industrial Security
Program Operating Manual”)
– NIST 800-88 (“Guidelines for Media Sanitation”)
• Finalmente
– Desmagnetización
– Destrucción física
Descarte de dispositivos de almacenamiento

15. • Security Groups (Reglas de Firewall)
• Tráfico de entrada necesita ser
explícitamente especificado por protocolo,
puerto y Security Group (SG)
• VPC agrega filtros de salida
• VPC también agrega “Network Access Control
Lists” (ACLs): filtros “stateless” de entrada y
salida.
• OS Firewall (e.g., iptables) también puede ser
implementado
• Capa de seguridad controlada por el
usuario
• Control de acceso granular para hosts
específicos
• Registro de eventos (log)
Seguridad en el flujo de tráfico de red
Encrypted
File System
Encrypted
Swap File
OSFirewall
AmazonSecurityGroups
VPCNetworkACL
Inbound Traffic

16. Amazon EC2
Instancias
• Tráfico confidencial debería ser controlado con criptografía.
• Tráfico hacia la red corporativa, debería ser encapsulado dentro de túneles VPN.
Red Corporativa
Tráfico Internet
VPN
Confidencialidad en el tráfico de red

17. Creando arquitecturas seguras

18. • Servicios escalables y tolerantes a fallas
• Todos los datacenters están siempre activos (“always on”)
– No tenemos “Disaster Recovery Datacenter”
– Administrados bajo los mismo estándares
• Conectividad robusta con Internet
– Cada AZ posee proveedores de servicios (Tier 1) redundantes
– Infraestructura de red confiable
AWS está construida para “Disponibilidad continua”

19. • Usuarios y Grupos dentro de las cuentas
• Credenciales únicas de seguridad
• Llaves de acceso
• Login/Password
• Dispositivo MFA opcional
• Políticas de control de acceso a las APIs AWS
• Altamente integrada con algunos servicios
• S3: Políticas sobre objetos y buckets
• Consola de administración AWS soporta log on de usuario
• No está pensado para Sistemas Operativos o aplicaciones
• Para esto, utilizar: LDAP, Active Directory/ADFS, etc...
AWS Identity and Access Management

20. • Credenciales de seguridad temporales, conteniendo:
 Identidad para autenticación
 Políticas de acceso para control de permisos
 Expiración Configurable (1 – 36 horas)
• Soporta:
 Identidades AWS (incluyendo usuarios IAM)
 Federación de identidades (autentica usuarios de los clientes)
• Escala para millones de usuarios
– No necesita crear una identidad IAM para cada usuario.
• Casos de uso
 Federación de identidad para la APIs AWS
 Aplicaciones para dispositivos móviles o navegadores
 Aplicaciones con usuarios ilimitados
Credenciales de seguridad temporales (sesiones)

21. Sincronización de Identidad con IAM

22. Federación de Identidad  AWS APIs

23. • Ayuda a prevenir que personas con conocimiento de su login y contraseña tengan acceso suplantando su
identidad
• Protección adicional para la información de su cuenta
• Funciona con:
– Cuenta Master
– Usuarios IAM
• Integrado con:
– Consola de administración AWS
– Key pages en el Portal AWS
– S3 (Borrado con seguridad)
– Workspaces (NEW)
Una opción de seguridad altamente recomendada
Autenticación Multi-Fator AWS

24. Capa Web
Capa de Aplicación
Capa de Base de datos
Únicamente puertos
80 y 443 abiertos a
internet
Staff de ingeniería tiene
acceso ssh a la capa de
aplicación que actúa
como un Bastión
Todos los otros puertos
de acceso de internet,
bloqueados por defecto
Amazon EC2
Security Group
Firewall
Ejemplo de abordaje de seguridad Multi-capa

25. • Crear un ambiente aislado lógicamente en la infraestructura altamente escalable de Amazon.
• Especificar su rango de direccionamiento IP privado dentro de una o más subredes públicas o
privadas.
• Controlar el acceso de entrada y salida desde y hacia subredes individuales usando
“stateless” Network Access Control Lists
• Proteger sus instancias con filtros “stateful” de entrada y salida de tráfico usando Security
Groups
• Vincular una dirección IP Elástica (EIP) a cualquier instancia en su VPC para que ella sea
alcanzable directamente desde internet.
• Unir su VPC con su infraestructura de TI on-premises bajo estándares de la industria para
conexiones VPN IPSEC cifradas.
• Utilizar un wizard para fácilmente crear su VPC en 4 topologías diferentes.
Amazon Virtual Private Cloud (VPC)

26. Controles de seguridad de red en VPC

27. • Opción para garantizar que host físicos no son compartidos por otros
clientes
• $2/hr flat fee por región + specific dedicated pricing
• Opción de identificar instancias específicas como dedicadas.
• Opción de configurar toda una VPC como dedicada.
http://aws.amazon.com/dedicated-instances/
VPC – Instancias dedicadas

28. • Diseño con menor cantidad de privilegios
• SOA design
• Clasificar los recursos y proteger de acuerdo a ellos
• Seguridad en todas las capas
• Inspeccione/verifique lo que usted imagina/espera
Recomendaciones:

29. • Respuestas a muchas preguntas de seguridad y privacidad
• Security whitepaper
• Risk and Compliance whitepaper
• Boletines de Seguridad
• Penetration testing por el cliente
• Mejores prácticas de seguridad
• Más informaciones:
• AWS Identity & Access Management (AWS IAM)
• AWS Multi-Factor Authentication (AWS MFA)
AWS Security and Compliance Center
(http://aws.amazon.com/security/)

30. • Converse con nosotros sobre sus preguntas de
seguridad
• Arquitectos de Soluciones especialistas en
seguridad y conformidad, están disponibles
para hablar con usted cuando lo necesite.
Recursos Adicionales

31. • Preguntas sobre nuestras certificaciones y
conformidades?
• Otras certificaciones necesarias que usted considere que
debamos explorar?
Sus sugerencias/dudas son *muy*
importantes…

32. Gracias!
aws.amazon.com/security
Henry Alvarado
• Email: gomhenry@amazon.