6. Todo se construye bajo una base de mejora constante en
seguridad
AWS Foundation Services
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability Zones
Edge Locations
AWS es
responsable por
la seguridad DE
La nube
GxP
ISO 13485
AS9100
ISO/TS 16949
7. AWS Foundation Services
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability Zones
Edge Locations
Client-side Data
Encryption
Server-side Data
Encryption
Network Traffic
Protection
Platform, Applications, Identity & Access Management
Operating System, Network, & Firewall Configuration
Customer applications & contentCustomers
La seguridad y conformidad es una responsabilidad compartida
Los clientes
tienen la
elección de las
configuraciones
de seguridad EN
la nube
AWS es
responsable por
la seguridad DE
La nube
9. La seguridad es familiar
• Nos esforzamos por mantener la seguridad en
AWS tan familiar para usted como lo es hoy en
día
– Visibilidad
– Auditable
– Bajo control
– Agilidad
14. La seguridad es Visible
• Quién está accediendo los recursos?
• Quién realizó alguna acción?
– Cuando?
– Desde donde?
– Qué hizo?
– Logs Logs Logs
15. Usted realiza
llamadas a la
API…
En un creciente
conjunto de
servicios a nivel
mundial
AWS CloudTrail está
continuamente
grabando las
llamadas a la API..
Y entregándole
a usted
archivos de log
AWS CLOUDTRAIL
Redshift
AWS CloudFormation
AWS Elastic Beanstalk
16. Casos de uso habilitados por CloudTrail
• Análisis de seguridad
Use archivos de log como datos de entrada para soluciones de administración y análisis
de logs para realizar análisis de seguridad y detección de patrones de usuario
• Siga los cambios sobre recursos AWS
Realice seguimiento a la creación, modificación y eliminación de recursos AWS como
instancias EC2, grupos de seguridad de Amazon VPC, volúmenes EBS, entre otros…
• Solución de problemas operacionales
Identifique cuales fueron las últimas acciones realizadas sobre recursos en su cuenta
AWS
• Ayudas en conformidad
Facilidad para demostrar conformidad con políticas internas y estándares regulatorios
19. AWS Config
AWS Config es un servicio completamente
administrado que le permite tener un
inventario de sus recursos AWS, permitiendo
auditar la historia de configuraciones
realizadas y notificarle cuando algún cambio
es realizado.
21. Casos de uso que AWS Config permite
• Análisis de seguridad: Estoy seguro?
• Auditoría de conformidad: Donde está la
evidencia?
• Control de cambios: Cual es el efecto de un
cambio?
• Solución de problemas: Qué ha cambiado?
22. Mi ambiente está seguro?
• Recursos correctamente
configurados son críticos para la
seguridad
• Config permite que usted
monitoree las configuraciones de
sus recursos y evalúe de
inmediato si éstas
configuraciones son potenciales
debilidades de seguridad
23. Donde está la evidencia?
• Muchas auditorías de conformidad
requieren acceso al estado de sus
sistemas en un momento
determinado (ej. PCI, HIPAA)
• Un inventario completo de todos
los recursos y sus respectiva
configuraciones en cualquier
momento en el tiempo
24. Cual es el efecto de este cambio?
• Cuando sus recursos son
creados, modificados o
eliminados, estos cambios de
configuración son transmitidos a
Amazon SNS
• Las relaciones entre recursos
son claras, lo que permite
proactivamente evaluar el
impacto de un cambio.
25. Qué cambió?
• Es crítico poder ser capaces de
responder rápidamente “Qué
cambió?”
• Usted puede rápidamente
identificar un cambio reciente en
sus recursos usando la consola o
construyendo integraciones
personalizadas con los archivos
de historia que son regularmente
exportados
27. Seguridad de primera clase y comienzo de
conformidades (pero no final!) con cifrado
Cifrado automático con llaves administradas
Traiga sus propias llaves
Módulos de seguridad en hardware dedicado
28. Mejores prácticas y cifrado con AWS
Llaves de cifrado administradas
Almacenamiento de llaves con AWS CloudHSM
Llaves de cifrado proveídas por el cliente
Crear, almacenar y obtener llaves de forma segura
Rotación de llaves regularmente
Auditoria del acceso a las llaves de forma segura
29. AWS Key Management Service
• Es un servicio administrado que le permite fácilmente
crear, controlar y usar sus llaves de cifrado
• Integrado con los SDKs y servicios de AWS, incluyendo
Amazon EBS, Amazon S3 y Amazon Redshift
• Integrado con AWS CloudTrail para proveer logs
auditables y ayudar con las actividades de regulación y
conformidad.
36. La práctica de seguridad en AWS es
diferente, pero el resultado es familiar:
Entonces, cómo está compuesto su equipo
de seguridad?
• Operaciones
• Ingeniería
• Seguridad de Aplicaciones
• Conformidad
37. Nuestra cultura:
Todos somos dueños
Cuando el problema es “mío” en vez de
“suyo”, hay más chances de que yo haga lo
correcto
41. Nuestra cultura:
Ponga más esfuerzo en el “por qué” en vez que
en el “como”
Por qué esto realmente importa?
Cuando algo salga mal, pregunte “cinco veces, por
qué?”
55. Seguridad es el trabajo cero
Usted va a estar mejor protegido en AWS de lo que
usted está en su propio ambiente
– “Based on our experience, I believe that we can be even more
secure in the AWS cloud than in our own data centers.”
-Tom Soderstrom, CTO, NASA JPL
– Nearly 60% of organizations agreed that CSPs [cloud service
providers] provide better security than their own IT organizations.
Source: IDC 2013 U.S. Cloud Security Survey,
doc #242836, September 2013
58. Foundation Services
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability Zones
Edge Locations
Client-side Data Encryption & Data
Integrity Authentication
Server-side Encryption
(File System and/or Data)
Network Traffic Protection
(Encryption/Integrity/Identity)
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer Data
AmazonCliente
• SOC I, II, III
• ISO 27001/ 2 Certification
• Payment Card Industry (PCI)
• Data Security Standard (DSS)
• FISMA Compliant Controls
• DIACAP Compliant Controls
• FedRAMP Compliant Controls
• ITAR Compliant
• HIPAA applications
• FIPS
• CSA
• MPAA
aws.amazon.com/compliance
59. Foundation Services
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability Zones
Edge Locations
Client-side Data Encryption & Data
Integrity Authentication
Server-side Encryption
(File System and/or Data)
Network Traffic Protection
(Encryption/Integrity/Identity)
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer Data
AmazonCliente
• SOC I, II, III
• ISO 27001/ 2 Certification
• Payment Card Industry (PCI)
• Data Security Standard (DSS)
• FISMA Compliant Controls
• DIACAP Compliant Controls
• FedRAMP Compliant Controls
• ITAR Compliant
• HIPAA applications
• FIPS
• CSA
• MPAA
Los Clientes Implementan
su propio conjunto de
Controles
aws.amazon.com/compliance
62. Desafios
PCI e Compliance
Proteger las
vulnerabilidades(IDS/IPS)
Gestión Simplificada y Centralizada de
Controles de Seguridad
Integración con el ambiente en la
nube de AWS