Bogotá

Seguridad en la nube AWS

Henry Alvarado

Arquitecto de soluciones

Amazon Web Services

La seguridad es el paso cero

La seguridad es el paso cero

Network

SecurityPhysical

Security

Platform

SecurityPeople &

Procedures

La seguridad es compartida

Todo se construye bajo una base de mejora constante en

seguridad

AWS Foundation Services

Compute Storage Database Networking

AWS Global Infrastructure Regions

Availability Zones

Edge Locations

AWS es

responsable por

la seguridad DE

La nube

GxP

ISO 13485

AS9100

ISO/TS 16949

AWS Foundation Services

Compute Storage Database Networking

AWS Global Infrastructure Regions

Availability Zones

Edge Locations

Client-side Data Encryption

Server-side Data Encryption

Network Traffic Protection

Platform, Applications, Identity & Access Management

Operating System, Network, & Firewall Configuration

Customer applications & contentC

ust

om

ers

La seguridad y conformidad es una responsabilidad compartida

Los clientes

tienen la

elección de las

configuraciones

de seguridad EN

la nube

AWS es

responsable por

la seguridad DE

La nube

La seguridad es familiar

La seguridad es familiar• Nos esforzamos por mantener la seguridad en

AWS tan familiar para usted como lo es hoy en

día– Visibilidad

– Auditable

– Bajo control

– Agilidad

Visibilidad

Visibilidad

Qué tan frecuentemente usted realiza un mapeo de su red?

Cómo es su ambiente

En este momento?

La seguridad es Visible• Quién está accediendo los recursos?

• Quién realizó alguna acción?– Cuando?

– Desde donde?

– Qué hizo?

– Logs Logs Logs

Usted realiza

llamadas a la

API…

En un creciente

conjunto de

servicios a nivel

mundial

AWS CloudTrail está

continuamente

grabando las

llamadas a la API..

Y entregándole

a usted

archivos de log

AWS CLOUDTRAIL

RedshiftAWS CloudFormation

AWS Elastic Beanstalk

Casos de uso habilitados por CloudTrail

• Análisis de seguridad Use archivos de log como datos de entrada para soluciones de administración y análisis

de logs para realizar análisis de seguridad y detección de patrones de usuario

• Siga los cambios sobre recursos AWS Realice seguimiento a la creación, modificación y eliminación de recursos AWS como

instancias EC2, grupos de seguridad de Amazon VPC, volúmenes EBS, entre otros…

• Solución de problemas operacionales Identifique cuales fueron las últimas acciones realizadas sobre recursos en su cuenta

AWS

• Ayudas en conformidad Facilidad para demostrar conformidad con políticas internas y estándares regulatorios

CloudTrail Regional Availability

Auditable

AWS Config

AWS Config es un servicio completamente

administrado que le permite tener un

inventario de sus recursos AWS, permitiendo

auditar la historia de configuraciones

realizadas y notificarle cuando algún cambio

es realizado.

Continuous ChangeRecordingChanging

Resources

AWS Config

History

Stream

Snapshot (ex. 2014-11-05)

AWS Config

Casos de uso que AWS Config permite

• Análisis de seguridad: Estoy seguro?

• Auditoría de conformidad: Donde está la

evidencia?

• Control de cambios: Cual es el efecto de un

cambio?

• Solución de problemas: Qué ha cambiado?

Mi ambiente está seguro?

• Recursos correctamente configurados son críticos para la seguridad

• Config permite que usted monitoree las configuraciones de sus recursos y evalúe de inmediato si éstas configuraciones son potenciales debilidades de seguridad

Donde está la evidencia?

• Muchas auditorías de conformidad

requieren acceso al estado de sus

sistemas en un momento

determinado (ej. PCI, HIPAA)

• Un inventario completo de todos

los recursos y sus respectiva

configuraciones en cualquier

momento en el tiempo

Cual es el efecto de este cambio?

• Cuando sus recursos son

creados, modificados o

eliminados, estos cambios de

configuración son transmitidos a

Amazon SNS

• Las relaciones entre recursos

son claras, lo que permite

proactivamente evaluar el

impacto de un cambio.

Qué cambió?

• Es crítico poder ser capaces de

responder rápidamente “Qué

cambió?”

• Usted puede rápidamente

identificar un cambio reciente en

sus recursos usando la consola o

construyendo integraciones

personalizadas con los archivos

de historia que son regularmente

exportados

Control

Seguridad de primera clase y comienzo de

conformidades (pero no final!) con cifrado

Cifrado automático con llaves administradas

Traiga sus propias llaves

Módulos de seguridad en hardware dedicado

Mejores prácticas y cifrado con AWS

Llaves de cifrado administradas

Almacenamiento de llaves con AWS CloudHSM

Llaves de cifrado proveídas por el cliente

Crear, almacenar y obtener llaves de forma segura

Rotación de llaves regularmente

Auditoria del acceso a las llaves de forma segura

AWS Key Management Service

• Es un servicio administrado que le permite fácilmente crear, controlar y usar sus llaves de cifrado

• Integrado con los SDKs y servicios de AWS, incluyendo Amazon EBS, Amazon S3 y Amazon Redshift

• Integrado con AWS CloudTrail para proveer logsauditables y ayudar con las actividades de regulación y conformidad.

AWS Key Management ServiceIntegrado con la consola AWS IAM

AWS Key Management ServiceIntegrado con Amazon EBS

AWS Key Management ServiceIntegrado con Amazon S3

AWS Key Management ServiceIntegrado con Amazon Redshift

Agilidad

Cómo AWS practica la seguridad?

La práctica de seguridad en AWS es

diferente, pero el resultado es familiar:

Entonces, cómo está compuesto su equipo

de seguridad?

• Operaciones

• Ingeniería

• Seguridad de Aplicaciones

• Conformidad

Nuestra cultura:

Todos somos dueños

Cuando el problema es “mío” en vez de

“suyo”, hay más chances de que yo haga lo

correcto

Mida constantemente, reporte

regularmente y mantenga los ejecutivos

responsables por la seguridad – hace

que ellos dirijan la cultura correcta

Nuestra cultura:

Nuestra cultura:

Mida, mida y mida

• Métricas cada 5 min es baja precisión

• Métricas cada 1 min son escasamente OK

Nuestra cultura:

Decir “no” es una falla

Nuestra cultura:

Ponga más esfuerzo en el “por qué” en vez que

en el “como”

Por qué esto realmente importa?

Cuando algo salga mal, pregunte “cinco veces, por

qué?”

Nuestra cultura:

Descentralice – no sea un cuello de botella

Es la naturaleza humana rodear cuellos de

botella

Nuestra cultura:

Cree servicios que otros puedan consumir a

través de APIs robustas

Nuestra cultura:

Pruebe, Constantemente

• Dentro/Fuera

• Privilegiado/No privilegiado

• Black-box/white-box

• Proveedor/construido en casa

Nuestra cultura:

El monitoreo proactivo arregla su día

• Qué es “normal” en su ambiente?

• Saber CUANDO pasó algo malo

Nuestra cultura:

Colecte, digiera, desmenuce y use inteligencia

Nuestra cultura:

Haga su equipo de conformidad parte de las

operaciones de seguridad

Nuestra cultura:

Base sus decisiones en hechos, métricas y

entendimiento detallado de su ambiente y sus

adversarios

Controles de seguridad simples

Fácil hacerlo bien

Fácil de auditar

Fácil de hacer cumplir

De Esto

A esto

Reducción continua de áreas

expuestas

Reducción continua del acceso

potencial humano

Cifrado ubicuo

Separación aún más granular

Seguridad es el trabajo cero

Usted va a estar mejor protegido en AWS de lo que

usted está en su propio ambiente

– “Based on our experience, I believe that we can be even more

secure in the AWS cloud than in our own data centers.”

-Tom Soderstrom, CTO, NASA JPL

– Nearly 60% of organizations agreed that CSPs [cloud service

providers] provide better security than their own IT organizations.

Source: IDC 2013 U.S. Cloud Security Survey,

doc #242836, September 2013

Security that fitsAWS Summit Bogotá

Juan Nieves

Sales Engineer

La seguridad es una

Responsabilidad Compartida

La nube AWS

Foundation Services

Compute Storage Database Networking

AWS Global

Infrastructure Regions

Availability Zones

Edge Locations

Client-side Data Encryption & Data

Integrity Authentication

Server-side Encryption

(File System and/or Data)Network Traffic Protection

(Encryption/Integrity/Identity)

Platform, Applications, Identity & Access Management

Operating System, Network & Firewall Configuration

Customer DataA

ma

zo

nC

lien

te

• SOC I, II, III

• ISO 27001/ 2 Certification

• Payment Card Industry (PCI)

• Data Security Standard (DSS)

• FISMA Compliant Controls

• DIACAP Compliant Controls

• FedRAMP Compliant Controls

• ITAR Compliant

• HIPAA applications

• FIPS

• CSA

• MPAA

aws.amazon.com/compliance

Foundation Services

Compute Storage Database Networking

AWS Global

Infrastructure Regions

Availability Zones

Edge Locations

Client-side Data Encryption & Data

Integrity Authentication

Server-side Encryption

(File System and/or Data)Network Traffic Protection

(Encryption/Integrity/Identity)

Platform, Applications, Identity & Access Management

Operating System, Network & Firewall Configuration

Customer DataA

ma

zo

nC

lien

te

• SOC I, II, III

• ISO 27001/ 2 Certification

• Payment Card Industry (PCI)

• Data Security Standard (DSS)

• FISMA Compliant Controls

• DIACAP Compliant Controls

• FedRAMP Compliant Controls

• ITAR Compliant

• HIPAA applications

• FIPS

• CSA

• MPAA

Los Clientes Implementan

su propio conjunto de

Controles

aws.amazon.com/compliance

Caso de Éxito

DesafiosPCI e Compliance

Proteger las

vulnerabilidades(IDS/IPS)

Gestión Simplificada y Centralizada de

Controles de Seguridad

Integración con el ambiente en la

nube de AWS

Muchas

Gracias!