Con el cambio acelerado de las organizaciones hacia la nube, asegurar la infraestructura es de suma importancia en su lista de prioridades. Aunque AWS proporciona un conjunto variado de herramientas y servicios relacionados con la seguridad y el cumplimiento. Hay varios otros factores más allá de la seguridad.
La seguridad no solo se trata de herramientas, sino de estrategia, vigilancia, mejora continua y conformidad con los estándares de cumplimiento de la industria para entornos seguros, incluidos GDPR, HIPAA y PCI DSS.
En este artículo discutiremos los componentes de seguridad de AWS con las mejores prácticas basadas en un análisis profundo.
Componentes de Seguridad de AWS
AWS cuenta con un rico conjunto de herramientas de seguridad para fortalecer los entornos en la nube. En el núcleo de la seguridad de AWS se encuentra un modelo de responsabilidad compartida, que define claramente las responsabilidades entre los clientes y AWS. AWS proporciona seguridad en la infraestructura de la nube, mientras que los clientes manejan los datos y configuraciones.
Esta demarcación constituye el núcleo de las prácticas de seguridad de AWS, con algunos de los componentes clave de seguridad que incluyen:
Gestión de Identidad y Acceso de AWS (IAM)
IAM gestiona el acceso a los recursos de AWS con permisos granulares. Se recomienda el principio de menor privilegio para disminuir los riesgos de seguridad.
Centro de Seguridad de AWS
AWS Security Hub proporciona una vista agregada de cumplimiento y postura de seguridad, creando hallazgos a partir de servicios como AWS Config, GuardDuty e Inspector.
Servicio de Gestión de Claves de AWS (KMS)
AWS KMS gestiona las claves de cifrado, asegurando un almacenamiento seguro de datos en tránsito.
Amazon GuardDuty
AWS GuardDuty proporciona un servicio de detección de amenazas que aprovecha el aprendizaje automático para escanear registros en busca de amenazas potenciales.
AWS Config
Este servicio monitorea y evalúa continuamente las configuraciones de los recursos de AWS en comparación con los estándares de cumplimiento especificados.
Flujo de Trabajo de Seguridad de AWS
Un flujo típico para los componentes de seguridad de AWS comienza con el registro y la auditoría a través de CloudTrail y CloudWatch Logs. Los eventos que desencadenan alertas se envían a AWS Security Hub, donde se obtienen información procesable. Las amenazas identificadas por GuardDuty podrían activar flujos de trabajo de automatización a través de AWS Lambda que podrían resultar en el aislamiento de recursos comprometidos o en la notificación al equipo de respuesta.
Si bien estos componentes funcionan en conjunto, la estrategia y las prácticas implementadas por una organización tendrán un gran impacto en la implementación.
Análisis de Seguridad de AWS y Mejores Prácticas
Durante el análisis que llevamos a cabo, incluyendo documentos técnicos de AWS, estudios de casos de clientes e incidentes de seguridad, aparecen algunas tendencias que son trampas comunes y mejores prácticas que pueden ser implementadas.
Vulnerabilidades en las Estrategias de “Levantar y Trasladar”
La mayoría de las organizaciones asumen que sus estrategias de seguridad locales se aplican también a la nube. Las estadísticas señalan que esta suposición lleva a configuraciones erróneas, que es la principal causa de incidentes de seguridad en AWS. Por ejemplo, una configuración inadecuada de un bucket de S3 se menciona como la razón de algunas filtraciones de datos de alto perfil. (Fuente: Gartner).
Mejores Prácticas
- Gestionar el aislamiento entre AWS y otros entornos en la nube (si corresponde).
- AWS Config se puede utilizar para hacer cumplir controles de cumplimiento en las políticas de los buckets de S3 y otros recursos.
Priorizar la Gestión de Identidad y Acceso
Según un Informe de Investigaciones sobre Violaciones de Datos de Verizon, más del 70% de las filtraciones provienen de credenciales mal gestionadas. Además, muchas organizaciones aparentemente otorgan roles de IAM con un acceso demasiado amplio simplemente porque es difícil configurar roles de IAM estrictos.
Mejores Prácticas
- Utilice el principio de menor privilegio para roles y usuarios de IAM.
- Asegúrese de que el Analizador de Acceso de IAM haya identificado permisos excesivos.
- Para cuentas privilegiadas, aplique la autenticación multifactor (MFA).
Aproveche la Infraestructura como Código
Las configuraciones manuales pueden ser una fuente de desviación y ofrecer muchas oportunidades para que ocurran errores humanos. AWS CloudFormation se puede utilizar para definir conjuntos de plantillas seguras para el despliegue de infraestructura.
Mejores Prácticas
- Los baselines de seguridad se pueden definir dentro de las plantillas de IaC y luego inyectarse en el pipeline CI/CD.
- Utilice AWS CodePipeline para hacer cumplir revisiones de código y controles de seguridad en el despliegue.
Implemente Mecanismos de Detección de Amenazas
Muchas organizaciones subutilizan los mecanismos de detección de amenazas, ya sea por la dificultad o el costo. En algunos casos, habilitar Amazon GuardDuty y AWS Macie ha demostrado mejorar considerablemente los tiempos de respuesta (Fuente: Blog de Seguridad de AWS).
Mejores Prácticas
- Habilitar GuardDuty y ajustarlo para alertar al equipo de seguridad de manera oportuna.
- Ejecutar regularmente ejercicios de simulación de amenazas para probar su respuesta.
Encriptación y Monitoreo de Datos
AWS Docs resaltó que la encriptación de datos se percibe como un enfoque de “configúralo y olvídalo”, lo que causa claves de encriptación antiguas o mal gestionadas.
Las organizaciones que utilizan monitoreo continuo con CloudTrail con la ayuda de pruebas de penetración regulares tienen una mayor probabilidad de detección de pre-vulnerabilidades. Este enfoque se alinea con el Informe de Investigación de Violaciones de Datos de Verizon 2024 (DBIR), hallazgos que destacan la importancia del monitoreo y la gestión.
Mejores Prácticas
- Usar AWS KMS para toda la encriptación con políticas de rotación automática de claves
- Monitorear continuamente la actividad de la cuenta usando
Conclusión
AWS CloudTrail. La seguridad del entorno de AWS no se trata de poner cada componente en su lugar; más bien, se trata de ser estratégico sobre cómo alcanzar tus objetivos organizacionales y necesidades de cumplimiento.
AWS ofrece muchos servicios para una implementación exitosa y bien informada junto con una gestión activa. Sin embargo, nuestro análisis destaca que las organizaciones que perciben la seguridad en la nube como un viaje en lugar de un evento rinden mejor frente a amenazas emergentes. Las organizaciones que utilizan los componentes de AWS de manera productiva, practicando las mejores prácticas y esforzándose constantemente por mejorar, pueden fortalecer con éxito la seguridad y el cumplimiento de sus entornos de AWS.