SEGURIDAD EN AMAZON WEB SERVICES



Documentos relacionados
Cloud Computing: Cloud híbrida y la solución de AWS

SEMANA 12 SEGURIDAD EN UNA RED

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Ley Orgánica de Protección de Datos

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

Información sobre seguridad

UNIVERSIDAD AUTÓNOMA DEL CARIBE

Conoce los Tipos de Hosting que Existen y Elige el Mejor para tus Necesidades

Información sobre seguridad

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

LINEAMIENTOS ESTÁNDARES APLICATIVOS DE VIRTUALIZACIÓN

Servidores corporativos Linux

Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets


Cloud Security Alliance. Recomendaciones de Seguridad para Usuarios

Servicios TIC. Propuesta educación Universidad

MODERNIZANDO PCN Y RECUPERACION DE DESASTRES UTILIZANDO VIRTUALIZACION Y LA NUBE

CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL

WHITE PAPER UNITRONICS MOBILITY SOLUTIONS. La solución para la nueva Oficina Virtual y el Nuevo Espacio de Trabajo de Unitronics

Ofrezca la nueva tendencia de innovación empresarial con un entorno de red abierta

INFORME DE ACREDITACIÓN DE SEGURIDAD PARA EL CUMPLIMIENTO DE LA DISPOSICIÓN TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL

Información de Producto:

Lo que usted necesita saber sobre routers y switches. Conceptos generales.

Windows Server 2012: Identidad y Acceso. Módulo 3: Introducción a DirectAccess en Windows Server 2012.

Resumen del trabajo sobre DNSSEC

0. Introducción Antecedentes

A continuación, se establece la política del WCEPS en relación con la recopilación y el uso de su información a través de este Sitio web.

Seminario Electrónico de Soluciones Tecnológicas sobre Acceso Remoto. 1 de 12

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

CAPÍTULO 1 Instrumentación Virtual

Familia de Windows Server 2003

PRODUCTIVIDAD EN TUS MANOS

Windows Server 2012: Infraestructura de Escritorio Virtual

Seguridad Perimetral. Juan Manuel Espinoza Marquez CFT San Agustín Linares -2012

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

Bechtle Solutions Servicios Profesionales

DocuWare cumple importantes normas y requisitos legales

FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN. Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?)

RECETA ELECTRÓNICA Informe de Seguridad

Traslado de Data Center

Mejores prácticas para la segmentación y fortificación de redes industriales

Ventajas de Linux para. las empresas

Escritorios virtuales

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

Presentada por: Juan Asenjo Marketing Manager, Thales e-security, Inc. Diego Laborero Regional Product Manager, Macroseguridad.org

CONSOLIDADO DE PREGUNTAS A LA FCT RECIBIDAS DURANTE EL ESTUDIO DE MERCADO O COSTOS

Nuevas tendencias: Virtualización de computadores / servidores

Capítulo 5. Cliente-Servidor.

Resumen de la solución SAP SAP Technology SAP Afaria. Gestión de la movilidad empresarial para mayor ventaja competitiva

Monitorización, Protección y Auditoría de Bases de Datos en tiempo real. Cumplimiento normativo y protección de acceso en Euskaltel

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

toda la potencia de un Dedicado con la flexibilidad del Cloud

FIRMA ELECTRÓNICA EN EL MINISTERIO DE EMPLEO Y SEGURIDAD SOCIAL SITUACIÓN PRESENTE Y FUTUROS DESARROLLOS

Requisitos de control de proveedores externos

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

MACROPROCESO GESTIÓN TECNOLÓGICA

Estándares de Seguridad

Solicitud de conexión de servidores físicos y virtuales departamentales

Transport Layer Security (TLS) Acerca de TLS

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral.

PCI-DSS Requisitos para su empleo en la nube

Redes cableadas (Ethernet)

SISTEMAS Y MANUALES DE LA CALIDAD

Principios de Privacidad y Confidencialidad de la Información

Evaluación, Reestructuración, Implementación y Optimización de la Infraestructura de Servidores, Base de Datos, Página Web y Redes

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Despliegue de una solución de acceso inalámbrico en la Red de Invitados del Banco de España y en sus Sucursales

TITULO: SERVICIO DE INFORMACIÓN A TRAVÉS DE UNA RED DE PUNTOS DE INFORMACIÓN ELECTRÓNICA EN ESPACIOS PÚBLICOS DE LA CIUDAD DE MADRID

Semana 10: Fir Fir w e a w lls

I INTRODUCCIÓN. 1.1 Objetivos

System Center. la plataforma para una gestión ágil de los entornos de TI IDG COMMUNICATIONS, S.A.

Brindamos asesorías que involucran tecnología y personal calificado, estos hacen de DOCTUM su mejor aliado.

Generar confianza en la nube. Implantación de estándares de Seguridad y Gestión. ISO ISO BS25999 LOPD

Cloud Computing. Rodrigo Moreno Rosales DN-11

MEDIOS DE PAGO ELECTRONICO

Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)

ADMINISTRACIÓN CENTRALIZADA DELL POWERVAULT DL2000 CON TECNOLOGÍA SYMANTEC

Seguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos.

1. Instala sistemas operativos en red describiendo sus características e interpretando la documentación técnica.

Requerimiento Tecnológico para acceso a Sistemas del SIAF

Fundamentos de EXIN Cloud Computing

Seguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Centro Nacional de Referencia de Aplicación de las TIC basadas en fuentes abiertas. Un ejemplo práctico: Plataforma de Archivo electrónico

BUSINESS INTELLIGENCE Y REDSHIFT

Organización. Elaboró: Ing. Ma. Eugenia Macías Ríos

Ayuda de Symantec pcanywhere Web Remote

SOLUCIONES EN SEGURIDAD INFORMATICA

CAPITULO V CONCLUSIONES Y RECOMENDACIONES. Para poder desarrollar una propuesta confiable de seguridades, enmarcada en las

OBJETIVOS DE APRENDIZAJE

GATEWAYS COMO FIREWALLS

I. E. S. Cristóbal de Monroy. DEPARTAMENTO: Informática. MATERIA: Sistemas Operativos en Red. NIVEL: 2º Sistemas Microinformáticos y Redes

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Maxpho Commerce 11. Gestión CSV. Fecha: 20 Septiembre 2011 Versión : 1.1 Autor: Maxpho Ltd

Elementos requeridos para crearlos (ejemplo: el compilador)

3ER FORO LATINOAMERICANO PRISM 17 Y 18 OCTUBRE 2013 CANCÚN, MÉXICO. Lic. Fernando Parada Gerente General Plumada SA Skype: ferparada1

Dispositivos de Red Hub Switch

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

Transcripción:

Whitepaper SEGURIDAD EN AMAZON WEB SERVICES BEE PART OF THE CHANGE www.beeva.com

MÁXIMA SEGURIDAD La infraestructura en la nube de Amazon Web Services (AWS) está diseñada para ser uno de los entornos de informática en la nube más flexibles y seguros de los disponibles en la actualidad. Ofrece una plataforma extremadamente escalable y de alta fiabilidad para que los clientes puedan implementar aplicaciones y datos de forma rápida y segura. Los centros de datos de AWS disponen de la máxima seguridad 24/7. Los sistemas ambientales de los centros están diseñados para minimizar el impacto de las interrupciones en las operaciones. La existencia de varias regiones geográficas disponibles hace que la información sobreviva a la mayoría de las averías, incluidas catástrofes naturales. AWS establece exhaustivos sistemas de supervisión de seguridad y red, protegiendo frente a ataques DDoS y detección de ataques de fuerza bruta contra sistemas de contraseñas en las cuentas de AWS, poniendo a prueba la infraestructura constantemente, desde todos los ángulos posibles y desde diferentes regiones. Además del amplio equipo de expertos, AWS cuenta con una gran variedad de herramientas y sistemas que automatizan muchas de las tareas de seguridad, desde la gestión de credenciales hasta la supervisión del uso del servidor y red. Los programas de análisis automatizados, por ejemplo, han reducido el tiempo de una evaluación de ingeniería de seguridad de horas a minutos e incrementando la velocidad de análisis de docenas de hosts al día a miles de hosts en el mismo tiempo. La infraestructura de AWS es mejorada constantemente, sustituyendo el hardware que llega al final de su vida con procesadores más recientes, mejorando así el rendimiento e incorporando tecnologías de seguridad, buscando reducir al máximo las fricciones entre los procesos de seguridad y los servicios. AWS construye sus centros en múltiples regiones geográficas y numerosas zonas de disponibilidad dentro de cada región. Esto es, las zonas de disponibilidad están físicamente aisladas en una región y ubicadas en zonas de menor riesgo. En caso de improbable fallo, los procesos automatizados desvían el tráfico de datos del cliente de la zona afectada, equilibrando la carga de tráfico entre los demás sitios. Para clientes obligados a cumplir con determinadas leyes o normas de seguridad, AWS proporciona informes de certificación que describen cómo su infraestructura en la nube cumple con los controles exigidos por estas normas. Cada certificación que AWS obtiene significa que un auditor ha verificado que están instaurados los controles específicos y que funcionan según lo previsto. 4 www.beeva.com

www.beeva.com

PARA TUS DATOS Para ayudar al mantenimiento de seguridad de datos y sistemas en la nube, AWS dispone de una amplia variedad de funcionalidades y servicios. SEGURIDAD DE RED Provee de diferentes opciones de seguridad a nivel de red para mantener los recursos y comunicaciones con la privacidad deseada. CONTROL DE ACCESO Solo permite acceso a usuarios, clientes y aplicaciones autorizadas a los recursos AWS, estableciendo políticas de control de acceso, cuentas individuales de usuarios y credenciales únicas. MONITORIZACIÓN Y SEGUIMIENTO AWS ofrece herramientas para hacer seguimiento y monitorizar los recursos en la nube. Con ellas, hay inmediata visibilidad del inventario así como sobre usuarios y actividades sobre la aplicación. COPIAS DE SEGURIDAD Una estrategia de seguridad debe incluir backups o snapshots de los datos con regularidad. Por eso, AWS realiza backups automáticos y, en otros casos, es posible configurar snapshots usando las diferentes opciones de configuración. CIFRADOS AWS utiliza sistemas de cifrado siempre que sea posible y recomienda su uso. Permite el almacenamiento de datos cifrados, centralización de gestión de claves y almacenamiento en hardware cifrado dedicado. REGIÓN AISLADA Para clientes con necesidades adicionales por cumplimiento de regulación especial, AWS ofrece regiones aisladas llamadas GovCloud (US) con estrictos y únicos requerimientos de seguridad que permiten un entorno en el que lanzar aplicaciones ITAR. 5

MODELO DE SEGURIDAD COMPARTIDA Al transferir una infraestructura de TI a AWS se crea un modelo de responsabilidad compartida entre AWS y el cliente. AWS opera, gestiona y controla los componentes del sistemas operativo host y la capa de virtualización a fin de ofrecer seguridad física en las instalaciones en las que operan los servicios. Por su parte, el cliente asume la responsabilidad y la gestión, entre otros elementos, del sistema operativo invitado (incluidas las actualizaciones y las revisiones de seguridad), de cualquier otro software de aplicaciones asociadas y de la configuración del firewall del grupo de seguridad que ofrece AWS. En el proceso de creación de infraestructura en AWS, los clientes deben pensar detenidamente los servicios que eligen, ya que las responsabilidades varían en función de los utilizados, de la integración de los mismos en el entorno TI y de la legislación y reglamentos aplicables. La seguridad o cumplimiento de requisitos más estrictos pueden mejorarse utilizando aplicaciones tecnológicas como firewalls basados en host, prevención y detección de intrusiones basadas en host, cifrado y gestión de claves. Esta responsabilidad compartida ofrece flexibilidad y la posibilidad de que el cliente pueda controlar la implementación de soluciones que satisfagan los requisitos de certificación específicos del sector. 6 www.beeva.com

SEGURIDAD EN CONEXIONES A la hora de conectar unas instalaciones o centros de datos con los servicios de AWS se utilizan protocolos seguros como HTTPS, SFTP, SSH, etc, a través de conexiones habituales de salida a Internet. Adicionalmente, en función de los requerimientos de seguridad, privacidad y rendimiento, están disponibles otras dos opciones de conexión: Conexión a través de túneles VPN ipsec punto a punto entre las instalaciones y AWS. Conexión a través de líneas dedicadas privadas Fibber Channel de hasta 10 Gigabits entre las instalaciones y AWS. Estas conexiones alternativas, y más seguras, pueden ser desplegadas en alta disponibilidad para garantizar el continuo funcionamiento del servicio. Desde BEEVA recomendamos, y ayudamos a implementar, una de estas alternativas más seguras para garantizar la protección de nuestros datos. 7

MÁXIMO NIVEL DE SEGURIDAD PERIMETRAL Y NETWORKING Existen diversas opciones para incrementar los niveles de seguridad perimetral y networking en las soluciones AWS. El servicio de redes privadas (VPC) permite reservar un espacio de direcciones privadas que pueden utilizarse libremente en los diseños, permitiendo segmentar este espacio en diferentes subredes con perfiles de conectividad y enrutamiento. Dentro de este servicio de redes privadas virtuales, están disponibles dos capas diferentes para definir permisos de acceso entre los diferentes elementos desplegados en el entorno, así como hacia y desde el exterior: security groups y access control list. SECURITY GROUPS Actúan como un firewall virtual que permite definir reglas de acceso entre los diferentes elementos de AWS. Actúan de forma reflexiva permitiendo el tráfico de vuelta relacionado con un origen confiable. ACCESS CONTROL LIST (ACL) Dentro de la VPC existe la opción de definir ACLs clásicas basadas en direcciones CIDR que permitirán detallar qué tráfico está permitido y denegado, tanto de entrada como de salida. Las ACLs no actúan de forma reflexiva, siendo necesario detallar el tráfico que queremos permitir. 8 www.beeva.com

SEGURIDAD EN LAS APLICACIONES AWS IAM Identity Access Management (IAM) es el gestor de identidades de AWS. Permite crear usuarios, grupos y roles, a los cuales asignar niveles de acceso a todos los recursos de AWS con una muy alta granularidad. El uso de roles permite asignar niveles de acceso a los servidores sin necesidad de persistir credenciales, evitando la problemática de la custodia de almacenamiento de credenciales de acceso. Desde IAM también es posible definir políticas de credenciales, lo que permitirá ajustarla a las exigencias corporativas. MULTIFACTOR AWS soporta la integración en sus sistemas de autenticación por multifactor (MFA), que consiste en la inclusión de un segundo elemento de seguridad en el proceso de autenticación. Esto permite proteger el acceso a nuestros sistemas con dos elementos de diferente naturaleza: Algo que sabes, como puede ser una contraseña. Algo que tienes, como es un token criptográfico software o hardware. AWS integra de forma nativa el uso de este tipo de dispositivos en sus servicios. CLOUDTRAIL Otra necesidad habitual en materia de seguridad es la de disponer de registros de auditoría de todas las acciones realizadas sobre la plataforma. Para esto, AWS dispone del servicio Cloudtrail, que registra todas las llamadas realizadas a la API así como quién la hizo, a qué hora, desde dónde y otros datos relevantes y de utilidad. Además, cabe destacar que Cloudtrail ofrece un entorno amigable en el que poder consultar estos registros. STS Security Token Service (STS) permite provisionar credenciales IAM de forma temporal mediante el uso de tokens. Esto permite conceder acceso, de forma manual o automática, a determinados recursos protegidos de nuestro entorno de forma temporal y bajo un procedimiento seguro y controlado. 9

CUSTODIA DE CLAVES PARA DATOS SENSIBLES 10 www.beeva.com

A la hora de proteger datos sensibles, es fundamental que éstos se encuentren protegidos por potentes algoritmos de cifrado. Tradicionalmente, cuando hablamos de cifrado, hay dos niveles a tener en cuenta para garantizar la seguridad de los datos: CIFRADO IN TRANSIT Los datos viajan por un canal adecuadamente protegido mediante protocolos seguros que permiten el cifrado del canal. CIFRADO AT REST Los datos se almacenan de forma segura, cifrando el lugar donde se alojan usando protocolos seguros. En AWS todos los servicios de almacenamiento que habitualmente usamos en las plataformas (EBS, S3, Redshift, DynamoDB, RDS, etc) soportan la posibilidad de cifrarse haciendo uso de los algoritmos estándar del mercado. Respecto a su tránsito, todos los endpoints implicados en este tipo de arquitecturas (APIs, Kinesis, SFTP, etc.) soportan protocolos de transporte seguros en los que los datos viajan por un canal cifrado. CUSTODIA DE CLAVES Otra problemática habitual de las herramientas de cifrados es cómo proteger adecuadamente las claves que utilizamos en los algoritmos. AWS dispone de múltiples opciones para la custodia de claves de cifrados en función de las necesidades de seguridad y costes deseados. KMS Servicio gestionado para la creación, control y custodia de las claves usadas. CLOUDHSM Esta solución, basada en la suite de Safenet Luna SA, permite el despliegue dentro de un entorno cloud un appliance hardware de HSM 100% dedicado para la infraestructura. HSM ON PREMISE Integración de los servicios con dispositivos HSM ya existentes en una arquitectura on-premise propia. 11

AWS COMPLIANCE AWS Compliance ayuda a comprender los controles estrictos instaurados en AWS para mantener la seguridad y protección de datos. Al construir sistemas sobre la infraestructura cloud de AWS, las responsabilidades de conformidad son compartidas; AWS Compliance garantiza la seguridad de la infraestructura subyacente pero el cliente es responsable de las iniciativas de conformidad derivadas de todo lo que ponga en la infraestructura AWS. La información recogida en AWS Compliance permite comprender el planteamiento de AWS en cuestiones de conformidad, así como evaluar el cumplimiento de la organización respecto a los requisitos de la industria y gobierno. La infraestructura en la nube de AWS está diseñada y gestionada conforme a las siguientes normativas, estándares y prácticas recomendadas. HIPAA Entorno seguro de AWS para procesar, mantener y almacenar información sanitaria confidencial según la Ley estadounidense de portabilidad y responsabilidad de seguros médicos (Health Insurance Portability and Accountability Act, HIPPA). SOC 1/SSAE 16/ISAE 3402 La auditoría de este informe se realiza conforme a los requisitos de los estándares profesionales Statement of Standards for Attestation Engagements No. 16 (SSAE 16) e International Standards for Assurance Engagements No. 3402 (ISAE 3402). Este informe regulado por dos estándares cumple una amplia variedad de requisitos de auditoría de los organismos de auditoría de EEUU e internacionales. SOC 2 El informe SOC 2 constituye un testimonio que amplía la evaluación de los controles conforme a los criterios establecidos por los Principios de los servicios de confianza del American Institute of Certified Public Accountants (AICPA) que definen controles de prácticas principales relacionados con la seguridad, disponibilidad, integridad durante el procesamiento, confidencialidad y privacidad. SOC 3 El informe SOC 3 incluye la opinión de un auditor externo sobre el funcionamiento de los controles incluidos en el informe SOC 2, la declaración del departamento de gestión de AWS relativa a la eficacia de los controles e información general acerca de la infraestructura y los servicios de AWS. 12 www.beeva.com

PCI DSS NIVEL 1 AWS alcanza el nivel 1 conforme al estándar de seguridad de datos del sector de tarjetas de pago (Payment Card Industry, PCI), permitiendo ejecutar aplicaciones en la infraestructura tecnológica de AWS conforme al sector de PCI para el almacenamiento, procesamiento y transmisión de datos de tarjetas de crédito en la nube. ISO 27001 Estándar de seguridad global que estipula los requisitos de los sistemas de gestión de seguridad de la información, ofreciendo un planteamiento sistemático para la gestión de la información de la empresa y los clientes que se basa en la evaluación periódica de los riesgos. FEDRAMP(SM) AWS cuenta con dos títulos de autorización de agencia operativa (Agency Authority to Operate, ATO) conforme al programa federal de gestión de riesgos y autorizaciones (Federal Risk and Authorization Management Program, FedRAMP) que ofrece un planteamiento estandarizado para la evaluación de la seguridad, autorización y la supervisión continua de productos y servicios de la nube hasta un nivel moderado. ITAR La región AWS GovCloud (EEUU) respalda el cumplimiento de las Regulaciones sobre Tráfico Internacional de Armas (ITAR) que obliga a las empresas sometidas a las regulaciones de exportación de ITAR a controlar las exportaciones no intencionadas mediante restricción del acceso a datos protegidos. FIPS 140-2 El Federal Information Processing Standard, FIPS, Publication 140-2 es un estándar de seguridad del gobierno de EEUU que especifica los requisitos de seguridad relativos a los módulos criptográficos para la protección de información delicada. CSA La iniciativa Security, Trust & Assurance Registry (STAR) de CSA es un registro gratuito y de acceso público que documenta los controles de seguridad proporcionados por las diferentes ofertas de informática en la nube, ayudando a los usuarios a evaluar la seguridad de los proveedores de servicios en la nube que tienen contratados o que prevean contratar. MPAA Prácticas recomendadas de z (MPAA) para almacenar, procesar y ofrecer de forma segura contenido multimedia protegido y de otro tipo. 13

www.beeva.com

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback