Blog de Amazon Web Services (AWS)
10 pasos para evaluar la conformidad de seguridad en su entorno AWS
La seguridad en la nube es nuestra mayor prioridad y un impulsor para empresas de diversos sectores, incluso clientes altamente regulados que ejecutan aplicaciones y cargas de trabajo críticas en la nube. En AWS, todos los clientes se benefician de los controles de seguridad y aún tienen la posibilidad de implementar sus propios controles de modo adicional, atendiendo a sus necesidades de negocio, regulaciones o incluso políticas de seguridad y privacidad de forma ágil. Más detalles sobre los servicios de seguridad nativos de AWS se pueden encontrar en el sitio de productos de seguridad.
Los clientes también cuentan con un conjunto adicional de recursos como los documentos y las mejores prácticas para apoyarles en la definición de sus jornadas para la nube de manera segura. Uno de esos documentos es el CIS Amazon Web Services Foundations, publicado por el Center for Internet Security (CIS), conocido benchmark técnico para la implementación de mejores prácticas de seguridad en entornos tecnológicos.
CIS Amazon Web Services Foundations es un documento técnico que detalla las mejores prácticas de configuración e implementación de controles y auditoría para que pueda tener un entorno seguro en la nube AWS.
A continuación, hay algunos ejemplos de controles de seguridad tratados en el documento:
- Evitar el uso de la cuenta root, la primera cuenta creada en la AWS y que tiene derechos administrativos, y cómo se debe establecer el monitoreo para cuando se utilice.
- Forzar el uso de un segundo factor de autenticación (MFA – Multi Factor Authentication) para acceder a la consola AWS.
- Deshabilitar el acceso de credenciales no utilizadas hace 90 días o más.
- Rotación de Access Keys (llaves de acceso programático) cada 90 días o menos.
- Crear políticas de contraseñas fuertes para los usuarios de IAM.
- Habilitar CloudTrail en todas las cuentas.
- Evitar y monitorear la existencia de Security Groups (SG) liberando acceso de entrada (ingress/inbound) al puerto 22 o 3389 para cualquier dirección IP (0.0.0.0/0).
Estos son sólo algunos ejemplos de controles de seguridad fundamentales que se pueden implementar en la nube AWS y que están documentados en CIS Amazon Web Services Foundations, siendo así una excelente referencia para establecer la configuración de seguridad inicial para su entorno en la nube AWS.
Una vez adoptados los controles del CIS para su entorno, ¿Como usted podrá monitorearlos y definir métricas para un ambiente ambiente dinámico y de múltiples cuentas?
En la Nube AWS es posible implementar un mecanismo de monitoreo continuo, proporcionando la identificación del estado de conformidades de configuración y cumplimiento de políticas de seguridad en tiempo casi real.
Uno de los servicios que se pueden utilizar para supervisar el estado de las configuraciones sugeridas por CIS Amazon Web Services Foundations es el AWS Security Hub. Lanzado en el Re: Invent de 2018, entre otras cosas, él permite obtener una visión agregada y unificada de descubrimientos de seguridad en su ambiente, utilizando información generada por los servicios de seguridad AWS como Amazon GuardDuty, Amazon Inspector, Amazon Macie o aún a través de soluciones de socios que se integran con el Security Hub.
Adicionalmente, AWS SecurityHub genera sus propios descubrimientos como resultado de la ejecución de verificaciones automatizadas y continuas en sus cuentas. Proporciona de esta manera una puntuación de conformidad e identificando cuentas y recursos específicos que requieren atención, como se muestra a continuación, utilizando como base el CIS Amazon Web Services Foundations.
Si se producen cambios de configuración de seguridad en sus cuentas, puede identificar periódicamente y evaluar de forma detallada las no conformidades señaladas, sin la necesidad de realizar análisis de seguridad manuales, permitiendo una evaluación de la conformidad continua de su entorno.
Puede obtener detalles y estado de los elementos de cumplimiento en su entorno AWS, como se muestra a continuación.
Al hacer clic por ejemplo en el ítem 1.1, puede obtener más información sobre las cuentas y sus configuraciones.
LOS 10 PASOS PARA HABILITAR LA EVALUACIÓN DE CONFORMIDAD CON BASE EN CIS
Entonces, ¿cómo habilitar el AWS Security Hub para monitorear de forma automatizada si las mejores prácticas del CIS Amazon Web Services Foundation se implementan correctamente en mi entorno AWS?
PASO 1 – Para ejecutar las validaciones de conformidad, el servicio AWS Config debe estar habilitado, ya que el Security Hub se utiliza de AWS Config Rules para efectuar el monitoreo de conformidad de su ambiente AWS. Para habilitar el AWS Config, seleccione el servicio Config en la consola AWS y haga clic en «Get started».
PASO 2 – Seleccione todos los recursos y cree un bucket que almacene el historial de configuración y los archivos de configuraciones que contienen detalles de las características que el AWS. Config supervisará.
PASO 3 – Cree un role para el servicio AWS Config y haga clic en Next.
PASO 4 – En la pantalla de Config Rules no es necesario definir la regla, teniendo en cuenta que se crearán automáticamente por Security Hub, haga clic en «Next» y confirme la configuración.
Revise y cambie la configuración si es necesario y, a continuación, haga clic en «Confirm».
PASO 5 – Ahora vamos a habilitar el Security Hub que creará las reglas de verificación de conformidad basadas en los datos los estándares de CIS Amazon Web Services Foundations. En la consola AWS, seleccione el servicio de concentrador de seguridad y haga clic en el botón «Enable Security Hub».
PASO 6 – Una vez en la consola del servicio, haga clic en el botón «Enable AWS Security Hub».
PASO 7 – Haciendo clic en Standards en el menú a la izquierda del servicio de Security Hub, tendrá acceso para habilitar monitoreo de cumplimiento de las mejores prácticas de CIS Amazon Web Services Foundations.
PASO 8 – Haga clic en «Enable» para habilitar la creación de reglas y la verificación.
PASO 9 – Valide la creación de las reglas en el AWS Config.
Minutos después, podrá analizar el estado de cumplimiento de los elementos evaluados en su cuenta y entorno AWS, basado en las mejores prácticas de CIS Amazon Web Services Foundations.
PASO 10 – En caso de múltiples cuentas – Vale destacar que en ambientes con múltiples cuentas es fundamental implementar un modelo de centralización de los descubrimientos del AWS Security Hub, facilitando así la identificación y tratamiento de los descubrimientos en una cuenta de seguridad centralizada, protegida y controlada.
Para ello, puede invitar a otras cuentas seleccionando la opción «Settings» en el menú de la izquierda, y añadir las opciones cuentas cuyos descubrimientos desea centralizar.
Haga clic en «Next”.
Valide si se ha enviado la invitación.
Con la invitación enviada, acceda al servicio AWS Security Hub en la cuenta invitada y acepte la invitación haciendo clic posteriormente en «Update».
De esta manera, descubrimientos se resumen visualmente en paneles integrados con gráficos para evaluación detallada, toma de decisiones y seguimiento de la evolución de sus indicadores de seguridad y conformidad con las configuraciones especificadas en el CIS Amazon Web Services Foundation.
La información adicional sobre los costos de los servicios se puede obtener en AWS Security Hub y AWS Config.
Acerca de los Autores
Daniel Garcia
Daniel es arquitecto de soluciones de seguridad y actualmente se centra en apoyar a las empresas del sector financiero en América Latina en su adopción segura de servicios de computación en nube. Con una experiencia de más de 18 años en tecnología y seguridad de la información, Daniel ya ha ayudado a decenas de compañías de varios segmentos y alcance geográfico a definir, planificar e implementar con éxito sus estrategias de ciberseguridad.
Marcelo Zillo
Marcello es un especialista de seguridad de AWS en América Latina, apoyando a las empresas de los más diversos segmentos en la creación y ejecución de sus estrategias de seguridad y jornada para la nube. Actuando en Seguridad de la Información, Riesgos y Conformidad desde hace más de 20 años, ocupó anteriormente cargos ejecutivos en instituciones financieras, liderando proyectos de transformación en las más diversas disciplinas de Seguridad, Riesgos y Compliance.