SEGURIDAD EN AMAZON WEB SERVICES

Transcripción

1 Whitepaper SEGURIDAD EN AMAZON WEB SERVICES BEE PART OF THE CHANGE

2 MÁXIMA SEGURIDAD La infraestructura en la nube de Amazon Web Services (AWS) está diseñada para ser uno de los entornos de informática en la nube más flexibles y seguros de los disponibles en la actualidad. Ofrece una plataforma extremadamente escalable y de alta fiabilidad para que los clientes puedan implementar aplicaciones y datos de forma rápida y segura. Los centros de datos de AWS disponen de la máxima seguridad 24/7. Los sistemas ambientales de los centros están diseñados para minimizar el impacto de las interrupciones en las operaciones. La existencia de varias regiones geográficas disponibles hace que la información sobreviva a la mayoría de las averías, incluidas catástrofes naturales. AWS establece exhaustivos sistemas de supervisión de seguridad y red, protegiendo frente a ataques DDoS y detección de ataques de fuerza bruta contra sistemas de contraseñas en las cuentas de AWS, poniendo a prueba la infraestructura constantemente, desde todos los ángulos posibles y desde diferentes regiones. Además del amplio equipo de expertos, AWS cuenta con una gran variedad de herramientas y sistemas que automatizan muchas de las tareas de seguridad, desde la gestión de credenciales hasta la supervisión del uso del servidor y red. Los programas de análisis automatizados, por ejemplo, han reducido el tiempo de una evaluación de ingeniería de seguridad de horas a minutos e incrementando la velocidad de análisis de docenas de hosts al día a miles de hosts en el mismo tiempo. La infraestructura de AWS es mejorada constantemente, sustituyendo el hardware que llega al final de su vida con procesadores más recientes, mejorando así el rendimiento e incorporando tecnologías de seguridad, buscando reducir al máximo las fricciones entre los procesos de seguridad y los servicios. AWS construye sus centros en múltiples regiones geográficas y numerosas zonas de disponibilidad dentro de cada región. Esto es, las zonas de disponibilidad están físicamente aisladas en una región y ubicadas en zonas de menor riesgo. En caso de improbable fallo, los procesos automatizados desvían el tráfico de datos del cliente de la zona afectada, equilibrando la carga de tráfico entre los demás sitios. Para clientes obligados a cumplir con determinadas leyes o normas de seguridad, AWS proporciona informes de certificación que describen cómo su infraestructura en la nube cumple con los controles exigidos por estas normas. Cada certificación que AWS obtiene significa que un auditor ha verificado que están instaurados los controles específicos y que funcionan según lo previsto. 4

3

4 PARA TUS DATOS Para ayudar al mantenimiento de seguridad de datos y sistemas en la nube, AWS dispone de una amplia variedad de funcionalidades y servicios. SEGURIDAD DE RED Provee de diferentes opciones de seguridad a nivel de red para mantener los recursos y comunicaciones con la privacidad deseada. CONTROL DE ACCESO Solo permite acceso a usuarios, clientes y aplicaciones autorizadas a los recursos AWS, estableciendo políticas de control de acceso, cuentas individuales de usuarios y credenciales únicas. MONITORIZACIÓN Y SEGUIMIENTO AWS ofrece herramientas para hacer seguimiento y monitorizar los recursos en la nube. Con ellas, hay inmediata visibilidad del inventario así como sobre usuarios y actividades sobre la aplicación. COPIAS DE SEGURIDAD Una estrategia de seguridad debe incluir backups o snapshots de los datos con regularidad. Por eso, AWS realiza backups automáticos y, en otros casos, es posible configurar snapshots usando las diferentes opciones de configuración. CIFRADOS AWS utiliza sistemas de cifrado siempre que sea posible y recomienda su uso. Permite el almacenamiento de datos cifrados, centralización de gestión de claves y almacenamiento en hardware cifrado dedicado. REGIÓN AISLADA Para clientes con necesidades adicionales por cumplimiento de regulación especial, AWS ofrece regiones aisladas llamadas GovCloud (US) con estrictos y únicos requerimientos de seguridad que permiten un entorno en el que lanzar aplicaciones ITAR. 5

5 MODELO DE SEGURIDAD COMPARTIDA Al transferir una infraestructura de TI a AWS se crea un modelo de responsabilidad compartida entre AWS y el cliente. AWS opera, gestiona y controla los componentes del sistemas operativo host y la capa de virtualización a fin de ofrecer seguridad física en las instalaciones en las que operan los servicios. Por su parte, el cliente asume la responsabilidad y la gestión, entre otros elementos, del sistema operativo invitado (incluidas las actualizaciones y las revisiones de seguridad), de cualquier otro software de aplicaciones asociadas y de la configuración del firewall del grupo de seguridad que ofrece AWS. En el proceso de creación de infraestructura en AWS, los clientes deben pensar detenidamente los servicios que eligen, ya que las responsabilidades varían en función de los utilizados, de la integración de los mismos en el entorno TI y de la legislación y reglamentos aplicables. La seguridad o cumplimiento de requisitos más estrictos pueden mejorarse utilizando aplicaciones tecnológicas como firewalls basados en host, prevención y detección de intrusiones basadas en host, cifrado y gestión de claves. Esta responsabilidad compartida ofrece flexibilidad y la posibilidad de que el cliente pueda controlar la implementación de soluciones que satisfagan los requisitos de certificación específicos del sector. 6

6 SEGURIDAD EN CONEXIONES A la hora de conectar unas instalaciones o centros de datos con los servicios de AWS se utilizan protocolos seguros como HTTPS, SFTP, SSH, etc, a través de conexiones habituales de salida a Internet. Adicionalmente, en función de los requerimientos de seguridad, privacidad y rendimiento, están disponibles otras dos opciones de conexión: Conexión a través de túneles VPN ipsec punto a punto entre las instalaciones y AWS. Conexión a través de líneas dedicadas privadas Fibber Channel de hasta 10 Gigabits entre las instalaciones y AWS. Estas conexiones alternativas, y más seguras, pueden ser desplegadas en alta disponibilidad para garantizar el continuo funcionamiento del servicio. Desde BEEVA recomendamos, y ayudamos a implementar, una de estas alternativas más seguras para garantizar la protección de nuestros datos. 7

7 MÁXIMO NIVEL DE SEGURIDAD PERIMETRAL Y NETWORKING Existen diversas opciones para incrementar los niveles de seguridad perimetral y networking en las soluciones AWS. El servicio de redes privadas (VPC) permite reservar un espacio de direcciones privadas que pueden utilizarse libremente en los diseños, permitiendo segmentar este espacio en diferentes subredes con perfiles de conectividad y enrutamiento. Dentro de este servicio de redes privadas virtuales, están disponibles dos capas diferentes para definir permisos de acceso entre los diferentes elementos desplegados en el entorno, así como hacia y desde el exterior: security groups y access control list. SECURITY GROUPS Actúan como un firewall virtual que permite definir reglas de acceso entre los diferentes elementos de AWS. Actúan de forma reflexiva permitiendo el tráfico de vuelta relacionado con un origen confiable. ACCESS CONTROL LIST (ACL) Dentro de la VPC existe la opción de definir ACLs clásicas basadas en direcciones CIDR que permitirán detallar qué tráfico está permitido y denegado, tanto de entrada como de salida. Las ACLs no actúan de forma reflexiva, siendo necesario detallar el tráfico que queremos permitir. 8

8 SEGURIDAD EN LAS APLICACIONES AWS IAM Identity Access Management (IAM) es el gestor de identidades de AWS. Permite crear usuarios, grupos y roles, a los cuales asignar niveles de acceso a todos los recursos de AWS con una muy alta granularidad. El uso de roles permite asignar niveles de acceso a los servidores sin necesidad de persistir credenciales, evitando la problemática de la custodia de almacenamiento de credenciales de acceso. Desde IAM también es posible definir políticas de credenciales, lo que permitirá ajustarla a las exigencias corporativas. MULTIFACTOR AWS soporta la integración en sus sistemas de autenticación por multifactor (MFA), que consiste en la inclusión de un segundo elemento de seguridad en el proceso de autenticación. Esto permite proteger el acceso a nuestros sistemas con dos elementos de diferente naturaleza: Algo que sabes, como puede ser una contraseña. Algo que tienes, como es un token criptográfico software o hardware. AWS integra de forma nativa el uso de este tipo de dispositivos en sus servicios. CLOUDTRAIL Otra necesidad habitual en materia de seguridad es la de disponer de registros de auditoría de todas las acciones realizadas sobre la plataforma. Para esto, AWS dispone del servicio Cloudtrail, que registra todas las llamadas realizadas a la API así como quién la hizo, a qué hora, desde dónde y otros datos relevantes y de utilidad. Además, cabe destacar que Cloudtrail ofrece un entorno amigable en el que poder consultar estos registros. STS Security Token Service (STS) permite provisionar credenciales IAM de forma temporal mediante el uso de tokens. Esto permite conceder acceso, de forma manual o automática, a determinados recursos protegidos de nuestro entorno de forma temporal y bajo un procedimiento seguro y controlado. 9

9 CUSTODIA DE CLAVES PARA DATOS SENSIBLES 10

10 A la hora de proteger datos sensibles, es fundamental que éstos se encuentren protegidos por potentes algoritmos de cifrado. Tradicionalmente, cuando hablamos de cifrado, hay dos niveles a tener en cuenta para garantizar la seguridad de los datos: CIFRADO IN TRANSIT Los datos viajan por un canal adecuadamente protegido mediante protocolos seguros que permiten el cifrado del canal. CIFRADO AT REST Los datos se almacenan de forma segura, cifrando el lugar donde se alojan usando protocolos seguros. En AWS todos los servicios de almacenamiento que habitualmente usamos en las plataformas (EBS, S3, Redshift, DynamoDB, RDS, etc) soportan la posibilidad de cifrarse haciendo uso de los algoritmos estándar del mercado. Respecto a su tránsito, todos los endpoints implicados en este tipo de arquitecturas (APIs, Kinesis, SFTP, etc.) soportan protocolos de transporte seguros en los que los datos viajan por un canal cifrado. CUSTODIA DE CLAVES Otra problemática habitual de las herramientas de cifrados es cómo proteger adecuadamente las claves que utilizamos en los algoritmos. AWS dispone de múltiples opciones para la custodia de claves de cifrados en función de las necesidades de seguridad y costes deseados. KMS Servicio gestionado para la creación, control y custodia de las claves usadas. CLOUDHSM Esta solución, basada en la suite de Safenet Luna SA, permite el despliegue dentro de un entorno cloud un appliance hardware de HSM 100% dedicado para la infraestructura. HSM ON PREMISE Integración de los servicios con dispositivos HSM ya existentes en una arquitectura on-premise propia. 11

11 AWS COMPLIANCE AWS Compliance ayuda a comprender los controles estrictos instaurados en AWS para mantener la seguridad y protección de datos. Al construir sistemas sobre la infraestructura cloud de AWS, las responsabilidades de conformidad son compartidas; AWS Compliance garantiza la seguridad de la infraestructura subyacente pero el cliente es responsable de las iniciativas de conformidad derivadas de todo lo que ponga en la infraestructura AWS. La información recogida en AWS Compliance permite comprender el planteamiento de AWS en cuestiones de conformidad, así como evaluar el cumplimiento de la organización respecto a los requisitos de la industria y gobierno. La infraestructura en la nube de AWS está diseñada y gestionada conforme a las siguientes normativas, estándares y prácticas recomendadas. HIPAA Entorno seguro de AWS para procesar, mantener y almacenar información sanitaria confidencial según la Ley estadounidense de portabilidad y responsabilidad de seguros médicos (Health Insurance Portability and Accountability Act, HIPPA). SOC 1/SSAE 16/ISAE 3402 La auditoría de este informe se realiza conforme a los requisitos de los estándares profesionales Statement of Standards for Attestation Engagements No. 16 (SSAE 16) e International Standards for Assurance Engagements No (ISAE 3402). Este informe regulado por dos estándares cumple una amplia variedad de requisitos de auditoría de los organismos de auditoría de EEUU e internacionales. SOC 2 El informe SOC 2 constituye un testimonio que amplía la evaluación de los controles conforme a los criterios establecidos por los Principios de los servicios de confianza del American Institute of Certified Public Accountants (AICPA) que definen controles de prácticas principales relacionados con la seguridad, disponibilidad, integridad durante el procesamiento, confidencialidad y privacidad. SOC 3 El informe SOC 3 incluye la opinión de un auditor externo sobre el funcionamiento de los controles incluidos en el informe SOC 2, la declaración del departamento de gestión de AWS relativa a la eficacia de los controles e información general acerca de la infraestructura y los servicios de AWS. 12

12 PCI DSS NIVEL 1 AWS alcanza el nivel 1 conforme al estándar de seguridad de datos del sector de tarjetas de pago (Payment Card Industry, PCI), permitiendo ejecutar aplicaciones en la infraestructura tecnológica de AWS conforme al sector de PCI para el almacenamiento, procesamiento y transmisión de datos de tarjetas de crédito en la nube. ISO Estándar de seguridad global que estipula los requisitos de los sistemas de gestión de seguridad de la información, ofreciendo un planteamiento sistemático para la gestión de la información de la empresa y los clientes que se basa en la evaluación periódica de los riesgos. FEDRAMP(SM) AWS cuenta con dos títulos de autorización de agencia operativa (Agency Authority to Operate, ATO) conforme al programa federal de gestión de riesgos y autorizaciones (Federal Risk and Authorization Management Program, FedRAMP) que ofrece un planteamiento estandarizado para la evaluación de la seguridad, autorización y la supervisión continua de productos y servicios de la nube hasta un nivel moderado. ITAR La región AWS GovCloud (EEUU) respalda el cumplimiento de las Regulaciones sobre Tráfico Internacional de Armas (ITAR) que obliga a las empresas sometidas a las regulaciones de exportación de ITAR a controlar las exportaciones no intencionadas mediante restricción del acceso a datos protegidos. FIPS El Federal Information Processing Standard, FIPS, Publication es un estándar de seguridad del gobierno de EEUU que especifica los requisitos de seguridad relativos a los módulos criptográficos para la protección de información delicada. CSA La iniciativa Security, Trust & Assurance Registry (STAR) de CSA es un registro gratuito y de acceso público que documenta los controles de seguridad proporcionados por las diferentes ofertas de informática en la nube, ayudando a los usuarios a evaluar la seguridad de los proveedores de servicios en la nube que tienen contratados o que prevean contratar. MPAA Prácticas recomendadas de z (MPAA) para almacenar, procesar y ofrecer de forma segura contenido multimedia protegido y de otro tipo. 13

13