¿Cómo evaluar los servicios de AWS, para datos altamente confidenciales, en instituciones financieras?

Por Ilya Epshteyn, Arquitecto de Soluciones de AWS

Como arquitecto de soluciones principales para el sector global de servicios financieros, una de las preguntas más frecuentes que recibo es, si un servicio específico de AWS está listo para los servicios financieros. En una industria regulada como esta, migrar a la nube no es un simple ejercicio de lift and Shift. En cambio, las instituciones financieras utilizan un proceso formal de evaluación para cada servicio, a menudo denominado homologación, para demostrar cómo los servicios en la nube pueden ayudar a cumplir sus obligaciones reglamentarias. Cuando este proceso no está bien definido, puede retrasar los esfuerzos para migrar datos a la nube.

En este post, proporciono un marco que consta de cinco consideraciones importantes en las que las instituciones financieras deberían centrarse para ayudar a simplificar la aprobación de los servicios en la nube para sus datos más sensibles. También describiré los recursos clave de AWS que pueden ayudar a las empresas de servicios financieros durante este proceso.

Estas son las cinco consideraciones principales:

1. Cumplir con normas
2. Proteger datos
3. Aislar entornos informáticos
4. Automatizar de auditorías con API
5. Asegurar operación

Para muchos de los líderes empresariales y tecnológicos con los que trabajo, la agilidad y la capacidad de innovar rápidamente son factores clave para sus programas en la nube. Las instituciones de servicios financieros se trasladan a la nube para ayudar a desarrollar experiencias digitales personalizadas, eliminar silos de datos, desarrollar nuevos productos, aumentar los márgenes de productos existentes y abordar proactivamente el cumplimiento de los requisitos globales y el riesgo. Los clientes de AWS que utilizan una amplia gama de servicios de AWS obtienen mayor agilidad a medida que avanzan en las etapas de adopción de la nube. El uso de una amplia gama de servicios permite a las organizaciones transferir a las actividades de AWS que no aportan diferencia competitiva, y se centran en sus negocios y clientes principales.

Mi objetivo es guiar a las instituciones de servicios financieros a medida que trasladan datos empresariales altamente confidenciales a la nube, tanto para cargas de trabajo de producción como para cargas de trabajo de misión crítica. Las siguientes consideraciones ayudarán a las organizaciones de servicios financieros a determinar qué tan preparados están los servicios en la nube y a tener éxito en este viaje.

1. Cumplir con normas

Para las instituciones financieras que utilizan un proceso de aprobación, el primer paso consiste en establecer que los componentes inherentes a los servicios de proveedores de servicios en la nube (CSP) pueden satisfacer las necesidades básicas de conformidad. Un requisito previo esencial para obtener esta confianza es comprender el modelo de responsabilidad compartida de AWS. La responsabilidad compartida significa que el funcionamiento seguro de una aplicación en AWS requiere la acción del cliente y de AWS como CSP. Los clientes de AWS son responsables de su seguridad en la nube. Controlan y administran la seguridad de su contenido, aplicaciones, sistemas y redes.  AWS gestiona la seguridad en la nube proporcionando y manteniendo operaciones adecuadas de servicios y recursos, protegiendo la infraestructura y los servicios de AWS, manteniendo la excelencia operativa y cumpliendo los requisitos legales y reglamentarios pertinentes.

Para establecer la confianza en el lado de AWS del modelo de responsabilidad compartida, los clientes pueden revisar periódicamente el informe Service and Organization Controls 2 Type II, preparado por un auditor independiente. El informe SOC 2 de AWS contiene información confidencial que los clientes pueden obtener en virtud de un Acuerdo de confidencialidad de AWS (NDA) a través de AWS Artifact, un portal de autoservicio para el acceso bajo demanda a los informes de conformidad de AWS. Inicie sesión en AWS Artifact en AWS Management Console o obtenga más información en AWS Artifact Getting Started.

Punto clave: Actualmente, 116 servicios de AWS se encuentran en el ámbito del cumplimiento SOC, lo que ayudará a las organizaciones a optimizar su proceso de aprobación. Para obtener más información sobre los servicios incluidos en el ámbito, consulte AWS Services in Scope by Compliance Program

2. Proteger de datos

Las instituciones financieras utilizan estrategias integrales de prevención de pérdida de datos para proteger la información confidencial. Los clientes que utilizan los servicios de datos de AWS pueden emplear el cifrado para reducir el riesgo de divulgación, alteración de información confidencial o acceso no autorizado. AWS Key Management Service (AWS KMS) permite a los clientes gestionar el ciclo de vida de las claves de cifrado y controlar cómo las utilizan sus aplicaciones y servicios de AWS. Permitir que las claves de cifrado se generen y mantengan en los módulos de seguridad de hardware validados (HSM) FIPS 140-2 en AWS KMS es la práctica recomendada y la opción más rentable.

Para los clientes de AWS que desean flexibilidad adicional para la generación y el almacenamiento de claves, AWS KMS les permite importar su propio material clave en AWS KMS y conservar una copia en su HSM local o gestionar y almacenar claves en instancias dedicadas de AWS CloudHSM bajo su control. Para cada una de estas opciones importantes de generación y almacenamiento de materiales, los clientes de AWS pueden controlar todos los permisos para utilizar claves de cualquier aplicación o servicio de AWS. Además, cada uso de una clave o modificación de su política se registra en AWS CloudTrail con fines de auditoría. Este nivel de control y auditoría de la administración de claves es una de las herramientas que las organizaciones pueden utilizar para cumplir los requisitos reglamentarios para utilizar el cifrado como mecanismo de privacidad de datos.

Todos los servicios de AWS ofrecen capacidades de cifrado, y la mayoría de los servicios de AWS que utilizan las instituciones financieras se integran con AWS KMS para proporcionar a las organizaciones el control sobre sus claves de cifrado utilizadas para proteger sus datos en el servicio. AWS ofrece capacidades clave de empleo controladas por el cliente con el doble de servicios que cualquier otro CSP.

Las instituciones financieras también cifran los datos en tránsito para garantizar que sólo el destinatario previsto acceda a ellos. El cifrado en tránsito debe considerarse en varias áreas, incluidas las llamadas de API a los extremos de servicio de AWS, el cifrado de datos en tránsito entre los componentes de servicio de AWS y el cifrado en tránsito en las aplicaciones. Las dos primeras consideraciones entran dentro del ámbito de AWS del modelo de responsabilidad compartida, mientras que las segundas son responsabilidad del cliente.

Todos los servicios de AWS ofrecen endpoints cifrados en Transport Layer Security (TLS) 1.2 que se pueden utilizar para todas las llamadas a API. Algunos servicios de AWS también ofrecen puntos finales FIPS 140-2 en determinadas regiones de AWS. Estos extremos FIPS 140-2 utilizan una biblioteca criptográfica que ha sido validada bajo el estándar Federal Information Processing Standards (FIPS) 140-2. Para las instituciones financieras que operan cargas de trabajo en nombre del gobierno de Estados Unidos, el uso de puntos finales FIPS 140-2 les ayuda a cumplir los requisitos de cumplimiento.

Para simplificar la configuración del cifrado en tránsito en una aplicación, que es responsabilidad del cliente, los clientes pueden utilizar el servicio AWS Certificate Manager (ACM). ACM permite el aprovisionamiento, la administración y la implementación sencillos de los certificados x.509 utilizados para TLS en los extremos de aplicaciones críticas alojados en AWS. Estas integraciones proporcionan una implementación automática de certificados y claves privadas y rotación automatizada para Amazon CloudFront, Elastic Load Balancing, Amazon API Gateway,AWS CloudFormation y AWS Elastic Beanstalk., ACM proporciona opciones de certificados públicos y privados para cumplir con los requisitos del modelo de confianza de las aplicaciones. Las organizaciones también pueden importar sus certificados públicos o privados existentes en ACM para aprovechar las inversiones existentes en infraestructura de clave pública (PKI).

Punto clave: AWS KMS permite a las organizaciones gestionar el ciclo de vida de las claves de cifrado y controlar cómo se utilizan las claves de cifrado para más de 50 servicios. Para obtener más información, consulte AWS Services Integrated with AWS KMS. AWS ACM simplifica la implementación y administración de PKI en comparación con el autoservicio en un entorno tradicional.

3. Aislar entornos informáticos

Las instituciones financieras tienen requisitos estrictos para el aislamiento de recursos informáticos y el control del tráfico de red para cargas de trabajo de datos altamente confidenciales. Una de las competencias principales de AWS como CSP es proteger y aislar cargas de trabajo entre clientes.  Amazon Virtual Private Cloud (Amazon VPC) permite a los clientes controlar su entorno de AWS y mantenerlo separado de los entornos de otros clientes. Amazon VPC permite a los clientes crear un enclave de red separado lógicamente en la red Amazon Elastic Compute Cloud (Amazon EC2) para alojar recursos informáticos y de almacenamiento. Los clientes controlan el entorno privado, incluidas direcciones IP, subredes, listas de control de acceso a la red, grupos de seguridad, firewalls del sistema operativo, tablas de rutas, redes privadas virtuales (VPN) y puertas de enlace de Internet.

Amazon VPC proporciona un sólido aislamiento lógico de los recursos de los clientes. Por ejemplo, cada flujo de paquetes en la red está autorizado individualmente para validar el origen y el destino correctos antes de que se transmitan y entreguen. No es posible que la información pase entre varios inquilinos sin estar específicamente autorizado por los clientes transmisores y receptores. Si un paquete se está enrutando a un destino sin una regla que lo coincida, el paquete se elimina. AWS también ha desarrollado AWS Nitro System, un hipervisor con hardware especializado que asigna recursos de la unidad central de procesamiento (CPU) a cada instancia y está diseñado para proteger la seguridad de los datos de los clientes, incluso contra los operadores de infraestructuras de producción.

Para obtener más información sobre el modelo de aislamiento para los servicios informáticos de varios inquilinos, como AWS Lambda, consulte el documento de descripción general de la seguridad de AWS Lambda. Cuando Lambda realiza una función en nombre de un cliente, administra el aprovisionamiento y los recursos necesarios para ejecutar el código. Cuando se llama a una función Lambda, el plano de datos asigna un entorno de ejecución para esa función o elige un entorno de ejecución existente que ya se ha configurado para esa función y, a continuación, ejecuta el código de función en ese entorno. Cada función se ejecuta en uno o más entornos de ejecución dedicados utilizados durante la vida útil de la función y luego se destruye. Los entornos de ejecución operan en máquinas de virtualización de hardware (microVM) con lean. Una microVM está dedicada a una cuenta de AWS, pero se puede reutilizar ejecutando entornos en roles bajo la misma cuenta. Los entornos de ejecución nunca se comparten entre roles y las microVM nunca se comparten entre cuentas de AWS. AWS sigue innovando en la seguridad de hipervisores y el aislamiento de recursos permite a nuestros clientes de servicios financieros ejecutar incluso las cargas de trabajo más sensibles en la nube de AWS con confianza.

La mayoría de las instituciones financieras requieren que el tráfico permanezca privado siempre que sea posible y no salga de la red de AWS a menos que sea necesario específicamente (por ejemplo, en cargas de trabajo orientadas a Internet). Para mantener el tráfico privado, los clientes pueden utilizar Amazon VPC para crear una parte aislada y privada de la nube para sus necesidades organizativas. Una VPC permite a los clientes definir sus propios entornos de red virtual con segmentación basada en capas de aplicaciones.

Para conectarse a servicios regionales de AWS fuera de la VPC, las organizaciones pueden utilizar puntos finales de VPC, que permiten la conectividad privada entre los recursos de la VPC y los servicios de AWS admitidos. Los endpoints son dispositivos virtuales administrados de alta disponibilidad, redundantes y escalables. Los endpoints permiten la conexión privada entre las VPC del cliente y los servicios de AWS mediante direcciones IP privadas. Con los endpoints, las instancias de Amazon EC2 que se ejecutan en subredes privadas de una VPC tienen acceso privado a recursos regionales sin necesidad de una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión de AWS Direct Connect. Además, cuando los clientes crean un endpoint, pueden adjuntar una política que controla el uso del endpoint para acceder únicamente a recursos específicos de AWS, como depósitos específicos de Amazon Simple Storage Service (Amazon S3) en su cuenta de AWS. Del mismo modo, al usar políticas basadas en recursos, los clientes pueden restringir el acceso a sus recursos para permitir el acceso solo desde los endpoints de VPC. Por ejemplo, mediante políticas de bucket, los clientes pueden restringir el acceso a un bucket de Amazon S3 concreto solo a través del endpoint. Esto garantiza que el tráfico siga siendo privado y fluya solo a través del punto final sin atravesar el espacio de direcciones públicas.

Punto clave: Para ayudar a los clientes a mantener el tráfico privado, más de 45 servicios de AWS admiten puntos finalesde VPC.

4. Automatizar auditorías con API

La visibilidad de las actividades de los usuarios y los cambios en la configuración de los recursos es un componente crítico del control, la seguridad y el cumplimiento de normas de TI. Las soluciones de registro tradicionales requieren la instalación de agentes, la implementación de archivos de configuración y servidores de registro, y la creación y mantenimiento de sistemas para almacenarlos. Esta complejidad puede dar como resultado una baja visibilidad y arreglos fragmentados para supervisar, lo que a su vez tarda más en solucionar problemas y que en resolver problemas. CloudTrail proporciona una solución simple y centralizada para registrar llamadas hacia API de AWS y los cambios de sus recursos en la nube, lo que ayuda en aliviar esta carga.

CloudTrail proporciona un historial de actividad en la cuenta de AWS de un cliente para ayudarle a cumplir los requisitos de conformidad con sus políticas internas y normas reglamentarias. CloudTrail le ayuda a identificar ¿Quién? o ¿Qué? realizó ¿Qué acción? sobre ¿Qué recursos se utilizaron? ¿Cuándo ocurrió el evento? y otros detalles para ayudar a los clientes en analizar y responder a la actividad en su cuenta de AWS. Los eventos de administración de CloudTrail proporcionan información sobre las operaciones de administración (planos de control) realizadas en los recursos de una cuenta de AWS. Por ejemplo, los clientes pueden registrar acciones administrativas como crear, eliminar y modificar instancias de Amazon EC2. Para cada evento, reciben detalles como la cuenta de AWS, la función de usuario de IAM y la dirección IP del usuario que inició la acción, así como la hora de la acción y los recursos que se vieron afectados.

Los eventos de datos de CloudTrail proporcionan información sobre las operaciones del plano de datos de recursos realizadas en o dentro del propio recurso. Los eventos de datos suelen ser actividades de gran volumen e incluyen operaciones como las API de nivel de objeto de Amazon S3 y las API de llamadas a funciones de AWS Lambda. Por ejemplo, los clientes pueden registrar acciones de API en objetos de Amazon S3 y recibir información detallada, como la cuenta de AWS, la función de usuario de IAM, la dirección IP de la persona que llama, la hora de llamada de API y otros detalles. Los clientes también pueden registrar la actividad de sus funciones de Lambda y recibir detalles sobre las ejecuciones de funciones de Lambda, como el usuario o servicio de IAM que realizó la llamada hacia una API, cuándo se realizó la llamada y qué función se ejecutó.

Para ayudar a los clientes a simplificar el cumplimiento y la auditoría continua, AWS ofrece el servicio AWS Config para ayudarles a examinar, auditar y evaluar las configuraciones de recursos de AWS. AWS Config supervisa y registra continuamente las configuraciones de recursos de AWS y permite a los clientes automatizar la evaluación de las configuraciones registradas según las directrices internas. Con AWS Config, los clientes pueden revisar los cambios en las configuraciones y las relaciones entre los recursos de AWS y profundizar en los historiales detallados de configuración de recursos.

Punto clave: Más de 160 servicios de AWS están integrados con CloudTrail, lo que ayuda a los clientes a garantizar el cumplimiento de sus políticas internas y normas reglamentarias al proporcionar un historial de actividad en su cuenta de AWS. Para obtener más información sobre el uso de CloudTrail con servicios específicos de AWS, consulte AWS Service Topics for CloudTrail en la guía del usuario de CloudTrail. Para obtener más información sobre cómo habilitar AWS Config en un entorno, consulte Introducción a AWS Config.

5. Asegurar operación

En nuestras conversaciones con las instituciones financieras, se dice a AWS que necesitan tener una comprensión clara del acceso a sus datos. Esto incluye saber qué controles existen para garantizar que no se produzca acceso no autorizado. AWS ha implementado controles por capas que utilizan medidas preventivas e investigativas para garantizar que solo las personas autorizadas tengan acceso a entornos de producción en los que reside el contenido del cliente. Para obtener más información acerca de los controles de acceso y seguridad, consulte el informe SOC 2 de AWS sobre AWS Artifact.

Uno de los principios fundamentales de diseño de la seguridad de AWS es mantener a las personas alejadas de los datos para minimizar los riesgos. Como resultado, AWS creó una plataforma de virtualización completamente nueva llamada AWS Nitro System. Este sistema altamente innovador combina hardware y software nuevos que aumentan drásticamente el rendimiento y la seguridad. AWS Nitro System permite una mayor seguridad con una superficie de ataque minimizada, ya que las funciones de virtualización y seguridad se trasladan desde la motherboard del sistema, donde las cargas de trabajo de los clientes se ejecutan a un sistema con hardware y software dedicados. Además, el modelo de seguridad, bloquea el sistema Nitro de AWS y prohíbe todo acceso administrativo, incluido el de los empleados de Amazon, lo que elimina la posibilidad de errores humanos y manipulación.

Punto clave: Revisar los informes de auditoría de terceros (incluido SOC 2 Tipo II) disponibles en AWS Artifact y obtenga más información sobre AWS Nitro System.

Conclusión

AWS puede ayudar a simplificar y optimizar el proceso de aprobación para las instituciones de servicios financieros se muevan a la nube. Cuando las organizaciones se benefician de una amplia gama de servicios de AWS, esto ayuda a maximizar su agilidad mediante el uso de las medidas de seguridad y cumplimiento existentes en los servicios de AWS para completar la aprobación, de modo que las organizaciones de servicios financieros puedan centrarse en su negocio principal y en sus clientes.

Una vez que las organizaciones completen el proceso de aprobación y determinen qué servicios en la nube se pueden utilizar como parte de su arquitectura, AWS Well-Architected Framework se puede implementar para ayudar a crear y operar arquitecturas, rendimiento y bajo costo en AWS.

AWS también cuenta con un equipo dedicado de profesionales de servicios financieros para ayudar a los clientes a navegar por un entorno normativo complejo y otros recursos para guiarlos en su migración a la nube, independientemente de dónde se encuentren en el proceso. Para obtener más información, consulte la página Servicios financieros o complete este formulario de contacto de AWS Financial Services.

Recursos adicionales

Documentación de seguridad de AWS
El repositorio de documentos de seguridad muestra cómo configurar los servicios de AWS para ayudar a cumplir los objetivos de seguridad y cumplimiento. La seguridad en la nube en AWS es la más alta. Los clientes de AWS se benefician de los centros de datos y las arquitecturas de red diseñadas para satisfacer los requisitos de las organizaciones más sensibles a la seguridad.

Centro de conformidad de AWS
AWS Compliance Center es una herramienta interactiva que proporciona a los clientes requisitos específicos del país y cualquier consideración especial para utilizar la nube en las zonas geográficas en las que operan. AWS Compliance Center tiene enlaces rápidos a recursos de AWS para ayudar con las rutas de adopción de la nube en países específicos e incluye detalles sobre los programas de cumplimiento aplicables en dichas jurisdicciones. El Centro de conformidad de AWS cubre muchos países y nuevos países se agregan continuamente a medida que actualizan sus requisitos reglamentarios relacionados con el uso de la tecnología.

AWS Well-Architected Framework y AWS Well-Architected Tool
AWS Well-Architected Framework ayuda a los clientes a comprender los pros y los contras de las decisiones que toman al crear sistemas en AWS. AWS Well-Architected Tool ayuda a los clientes a revisar el estado de sus cargas de trabajo y las compara con las prácticas recomendadas de arquitectura de AWS más recientes. Para obtener más información sobre AWS Well-Architected Framework and Security, consulte el documento Security Pillar – AWS Well-Architected Framework.

Este artículo fue traducido del Blog de AWS en Inglés.

Sobre el traductor

Julio Carvalho es arquitecto de soluciones de seguridad de AWS para el mercado financiero. Centrado en la seguridad digital durante más de 15 años, ha trabajado en la primera línea de respuesta a incidentes, gestión de riesgos y ejecutivo de seguridad para multinacionales. Como experto técnico en arquitecturas seguras, Julio ayuda a los clientes de AWS a resolver desafíos dinámicos de seguridad y cumplimiento en sus viajes en la nube.

Revisor