Conociendo el Foundational Technical Review de AWS: una guía para los Software Partners – Parte 1

Por: Alvaro Plata, arquitecto de soluciones intern en Amazon Web Services (AWS) para Sector Público. 

Nota: En esta serie de blogs utilizaremos el término «solución» con frecuencia, el cual se refiere a la carga de trabajo o aplicación creada por su organización y desplegada o integrada con servicios de AWS.

El objetivo de este blog es servir como una guía introductoria y punto de partida para los Software Partners de AWS, también conocidos como Independent Software Vendors (ISVs)¹, para entender los aspectos más relevantes del Foundational Technical Review (FTR) y comenzar a preparar su solución para la revisión y certificación de AWS.

Introducción al FTR

¿Qué es el FTR?

El FTR es un proceso mediante el cual los Software Partners de AWS incorporan en sus soluciones un conjunto de mejores prácticas de arquitectura en seguridad, confiabilidad y excelencia operacional. Su objetivo es fortalecer su solución en estas áreas, mejorar la experiencia de sus clientes finales y certificar la incorporación de estas mejores prácticas con AWS.

¿Cuáles son los beneficios de certificar su solución con el FTR?

Los beneficios obtenidos de este proceso y la posterior certificación de su solución son múltiples. Además de importantes aprendizajes sobre mejores prácticas de arquitectura en AWS y de incorporarlas en su solución, tendrá la oportunidad de avanzar en el Software Path² del AWS Partner Network (APN) hacia la etapa Validated, a partir de la cual se habilitan diferentes beneficios a través de programas del APN. Entre estos programas está AWS Competency, que le permite a su organización validar, comercializar y resaltar su experiencia técnica en industrias y áreas especializadas (por ejemplo, Competencia en Educación, Gobierno, IoT, Migración y Modernización, entre otras). Asimismo, el programa AWS ISV Accelerate le ayuda a impulsar nuevos negocios y acelerar ciclos de venta a través de estrategias de venta conjunta (co-selling) con AWS.

Obtener la certificación del FTR también habilita la publicación de su solución en portales de búsqueda como el AWS Partner Solutions Finder, la obtención de una insignia (badge) para incluir, por ejemplo, en los medios de promoción de su producto y que indica que este fue «Revisado por AWS».

Para más información, se recomienda consultar la página y la guía del FTR, disponible a través de Partner Central³.

¿Cómo certificar su solución con el FTR?

Antes de iniciar la preparación es necesario identificar el tipo de su solución de acuerdo con el modelo de despliegue. Los dos principales son Partner Hosted y Customer Deployed.

• Partner Hosted: Este tipo de soluciones son desplegadas y administradas por el Software Partner en cuentas de AWS bajo su dominio. Generalmente son soluciones ofrecidas como servicio (Software as a Service – SaaS) y son accedidas por los clientes finales a través de un modelo de suscripción o pago por uso.
• Customer Deployed: Son soluciones desplegadas y administradas por los clientes finales en sus propias cuentas de AWS. En este caso, es responsabilidad del Software Partner proveer la documentación necesaria para configurar y operar correctamente el software en AWS.

Dependiendo del tipo de solución, los requisitos y pasos para realizar la certificación del FTR varían. En este blog nos concentraremos en la modalidad Partner Hosted, pues es la opción desarrollada y ofrecida por la mayor parte de los Software Partners.

El primer paso es preparar la documentación necesaria para solicitar la revisión de su solución con el FTR. Esta documentación incluye un reporte de autoevaluación (Self-Assessment) y un reporte de seguridad (Security Report) generado por una herramienta de revisión automatizada como AWS Security Hub. Detallaremos estos dos documentos más adelante.

Al disponer de estos informes que documentan cómo su solución cumple con los requisitos necesarios para obtener la certificación del FTR, puede solicitar su revisión a través de Partner Central. En esta plataforma, se habilita la carga de estos documentos que serán revisados por un Arquitecto de Soluciones para Partners de AWS (PSA) quien evaluará la información proporcionada para determinar si se cumplen todos los requerimientos. En caso de que se requieran remediaciones, se asignará un plazo máximo de 6 meses para su realización y documentación, las cuales serán revisadas por el PSA asignado. En la siguiente imagen se resumen los pasos necesarios para la revisión y certificación de su solución con el FTR.

Proceso de revisión

Requerimientos para una solución Partner Hosted

Como mencionamos anteriormente, para la revisión y certificación de su solución con el FTR son necesarios dos reportes: el Self-Assessment y el Security Report. Ambos informes tienen como objetivo documentar el cumplimiento de los requerimientos del FTR en su solución, los cuales se detallan en una lista de verificación (Checklist), disponible en el siguiente recurso: Partner Hosted Foundational Technical Review.

Los requerimientos del FTR que componen el Checklist están basados en un subconjunto de las mejores prácticas de arquitectura recomendadas por AWS a través del AWS Well-Architected Framework. Estas prácticas ayudan a los arquitectos a crear una infraestructura segura, de alto rendimiento, resiliente y eficiente para una variedad de aplicaciones y cargas de trabajo. Algunas de las categorías de requerimientos de este Checklist incluyen: manejo de datos sensibles, resiliencia, copias de seguridad y recuperación, gestión de identidad y acceso, entre otras. En la siguiente entrega de esta serie de blogs revisaremos con más detalle en qué consisten algunas de las categorías de requerimientos técnicos que pueden presentar mayores retos durante su implementación.

Tanto el Self-Assessment como el Security Report deben considerar como parte de su alcance todas las cuentas de AWS de producción, es decir, aquellas en las que se almacenan o procesan datos de clientes. Veamos con más detalle en qué consiste cada uno de estos reportes.

Self-Assessment

El Self-Assessment consiste en la documentación manual de cómo se da cumplimiento a los requerimientos que no son validados automáticamente por un servicio de seguridad (por ejemplo, AWS Security Hub).

Es importante notar que, dependiendo de la implementación y arquitectura de su solución, es posible que no todos los requerimientos apliquen. Por ejemplo, los requerimientos de la categoría Cross-account access del Checklist indican una serie de configuraciones necesarias en el escenario de que su solución acceda a datos en cuentas de AWS de sus clientes. Si este no es el caso de su carga de trabajo, los requerimientos de esta categoría no aplican y no es necesario proveer documentación adicional.

En el mismo recurso donde se accede al Checklist se encuentra el formato del Self-Assessment disponible para su descarga (Self-Assessment Spreadsheet). Este consiste en una hoja de cálculo con los campos necesarios para la documentación del cumplimiento de los requerimientos. Aunque la descripción de cada requerimiento se encuentra también en este archivo descargable, se recomienda consultar frecuentemente la información desde la página web y no únicamente desde la hoja de cálculo, pues en esta página se encuentran enlaces a recursos adicionales de apoyo en las descripciones de los requerimientos. Además, el Checklist es actualizado de forma periódica, por lo que es importante estar al tanto de la última información publicada.

Otro punto importante por notar es que la manera de documentar cómo su solución cumple con cada requerimiento puede variar. Algunos suponen únicamente indicar si está activada alguna configuración específica en la cuenta de AWS, mientras que otros sugieren incluir información más detallada sobre, por ejemplo, cómo su organización ejecuta un proceso determinado.

Security Report

A lo largo de la lista de requerimientos hay un subconjunto de estos que incluyen el indicador “CIS <ID>”, los cuales corresponden a puntos de referencia del CIS (Center for Internet Security)⁴. Para la validación de estos requerimientos no es necesario documentar una respuesta en el Self-Assessment, pues son validados a través de una revisión automatizada de la(s) cuenta(s) de AWS de producción. Una de las herramientas recomendadas para realizar este escaneo automatizado es AWS Security Hub. Con AWS Security Hub podrá obtener una vista integral de su estado de seguridad en AWS, a través de comprobaciones automatizadas de su(s) cuenta(s) contra una serie de controles de seguridad basados en mejores prácticas de arquitectura. AWS Security Hub centraliza y prioriza los hallazgos para ayudarlo a analizar su postura de seguridad, identificar los problemas de mayor prioridad y remediarlos.

Para el FTR, el estándar de seguridad a habilitar en AWS Security Hub es el CIS AWS Foundations Benchmark. Una vez realizadas las comprobaciones, este servicio proporciona un informe detallado con los resultados que indican el estado de cumplimiento de su(s) cuenta(s) con respecto a los controles de seguridad habilitados. Este informe corresponde al Security Report que se adjunta a la solicitud de revisión del FTR. A continuación, exploraremos la experiencia de uso de Security Hub, veremos cómo generar el Security Report y cómo esta herramienta puede mejorar la postura de seguridad de sus cargas de trabajo.

Uso de AWS Security Hub

Antes de comenzar a utilizar AWS Security Hub es necesario habilitar algunas configuraciones en su cuenta de AWS. Puede consultar los pasos correspondientes en la siguiente página: Requisitos previos y recomendaciones para AWS Security Hub.

Al ingresar por primera vez a la consola de AWS Security Hub se encuentran una serie de estándares de seguridad que puede habilitar. Cada uno de estos estándares analiza la postura de seguridad de su(s) cuenta(s) de AWS contra diferentes controles. Como se mencionó anteriormente, el estándar que realiza las validaciones necesarias para el FTR es el CIS AWS Foundations Benchmark (versión 1.4 al momento de escribir este blog). Para habilitarlo seleccione la opción “Enable”.

Una vez se habilita un estándar de seguridad, AWS Security Hub comienza a ejecutar todas las comprobaciones dentro de una ventana de tiempo de 2 horas y puede tardar hasta 18 horas en generar los hallazgos por primera vez. Las siguientes comprobaciones se ejecutarán automáticamente por Security Hub dentro de las siguientes 12 a 24 horas posteriores a la ejecución más reciente.

Los hallazgos de los controles de seguridad pueden ser consultados a través de la consola del estándar. Hasta que se complete la primera comprobación de un control, su estado es “Sin datos” (“No Data”), como se muestra a continuación.

Una vez haya terminado la primera ejecución de las comprobaciones, se actualiza el estado de los controles según los hallazgos. Para conocer los posibles estados de un control de seguridad se recomienda consultar la siguiente página: Valores del estado de control. En el siguiente ejemplo, 11 de 39 controles fueron identificados como “Aprobados” (“Passed”).

Para que los requerimientos del FTR señalados con el indicador “CIS <ID>” en el Checklist se consideren como cumplidos, los controles de seguridad asociados deben estar en estado “Aprobado” (“Passed”). Veamos un ejemplo de un requerimiento identificado como “Fallido” (“Failed”) y cuáles serían los pasos recomendados para su remediación. Consideraremos el requerimiento: Habilitar la autenticación multifactor (MFA) en el usuario raíz para todas las cuentas de AWS (CIS 1.5/Security Control IAM.9).

Al seleccionar el control de seguridad será dirigido a una consola con información detallada, incluyendo la descripción y en la columna “Compliance Status” los recursos sobre los cuales se está aplicando la comprobación. En nuestro ejemplo el recurso es la cuenta (“Account”), para otros controles pueden ser recursos de infraestructura como buckets de S3, usuarios de IAM, VPCs, entre otros. Si algún recurso no cumple con el control de seguridad, este último será identificado como “Fallido” (“Failed”).

Para cada recurso es posible visualizar el detalle de los hallazgos de Security Hub accediendo a la opción “Finding.json”.

Esta opción habilita la visualización de un archivo .json descargable, que contiene información específica de la comprobación del control de seguridad, como: criticidad, descripción, fecha de revisión, etc.

Cada control de seguridad contiene un apartado de instrucciones de remediación. Se recomienda regresar a la consola del control de seguridad y acceder al enlace con el nombre “Remediation Instructions”.

En esta página se encuentra el paso a paso para la remediación del control de seguridad correspondiente.

Una vez todos los controles de seguridad asociados a los requerimientos del FTR se encuentren en estado “Aprobado” (“Passed”), es momento de generar el Security Report. Desde la consola principal de Security Hub puede generar un reporte en formato CSV con los hallazgos, dando clic en el botón “Descargar” (“Download”).

Esto descargará un archivo CSV como el que se muestra a continuación, que incluye el detalle de los hallazgos de cada uno de los controles de seguridad.

Siguientes pasos

El FTR es un proceso que va más allá de cumplir con unos requerimientos y obtener la certificación para una solución. Brinda la oportunidad de adoptar y conocer el valor de mejores prácticas fundamentales de arquitectura, basadas en los pilares de seguridad, confiabilidad y excelencia operacional del AWS Well-Architected Framework. Esta experiencia abre las puertas para adentrarse en la exploración de nuevas mejores prácticas alineadas con las necesidades de su organización.

Asimismo, este proceso abre la oportunidad para reforzar la postura de seguridad de su solución. Con AWS Security Hub podrá monitorear continuamente el cumplimiento de mejores prácticas de seguridad. Adicionalmente, el FTR está alineado con el Modelo de Madurez en Seguridad de AWS, el cual brinda un marco para continuar avanzando en su estrategia de seguridad.

Además de los beneficios técnicos, a partir del FTR puede desarrollar una estrategia para impulsar el crecimiento de su negocio a través de diferentes programas, apoyándose en herramientas, recursos y acompañamiento de AWS. Estos beneficios terminan impactando de forma positiva la experiencia de los usuarios de su solución, incrementando el éxito y la confianza de sus clientes.

Recomendamos consultar los diferentes recursos compartidos en este blog y lo invitamos a iniciar la preparación de su solución para el FTR. En la siguiente entrega de esta serie de blogs exploraremos algunas de las categorías del Checklist de requerimientos que suelen presentar mayores desafíos, junto con recomendaciones para su implementación.

Otros blogs de esta serie

• Conociendo el Foundational Technical Review de AWS: una guía para los Software Partners – Parte 2

Referencias

¹ Los Software Partners son empresas independientes que trabajan en conjunto con AWS para crear soluciones de software que se despliegan o integran con servicios de AWS.

² Las Rutas para Socios (Partner Paths) son un conjunto de programas especializados diseñados específicamente para respaldar y fortalecer una gama de ofertas de los Partners de AWS en software, hardware, servicios, capacitación o distribución. En particular, el Software Path está diseñado para que los Software Partners puedan acceder a una serie de recursos a través de diferentes etapas y hacer seguimiento a los requerimientos para avanzar en cada una de ellas. Esto les permitirá crecer con AWS y trabajar en conjunto para fortalecer y promocionar su solución.

³ AWS Partner Central es el portal de AWS para Partners mediante el cual pueden acceder a contenido, entrenamientos y herramientas claves para el crecimiento de su negocio junto con AWS. Para más información sobre cómo acceder a Partner Central, crear una cuenta y registrar su organización en el APN, se recomienda consultar el siguiente enlace: Registro en el AWS Partner Network.

⁴ Los puntos de referencia del CIS son un conjunto de prácticas recomendadas, reconocidas y consensuadas a nivel mundial para ayudar a los profesionales de la seguridad a aplicar y administrar medidas de protección cibernética. Para más información se recomienda consultar el siguiente recurso de AWS: ¿En qué consisten los puntos de referencia del CIS?

Sobre el autor

Alvaro Plata es Arquitecto de Soluciones Intern en Amazon Web Services para Sector Público. Alvaro colabora con Partners y clientes del sector público a lo largo de Latinoamérica. Le apasiona la construcción de arquitecturas orientadas a eventos, el uso de tecnologías de Machine Learning e Inteligencia Artificial y el desarrollo de capacidades técnicas en las organizaciones.

Revisores técnicos

Alfonso Barbosa es Arquitecto de Soluciones Sr. para Partners de Sector Público en Amazon Web Services. Alfonso ayuda a Independent Software Vendors (ISVs) en la habilitación de capacidades técnicas para la evolución de sus soluciones. Le apasiona la analítica de datos y el desarrollo de iniciativas regionales basadas en la adopción de tecnologías, para impulsar la transformación digital en las compañías.

Camilo García es Arquitecto de Soluciones para el Sector Público en la región Andina. Camilo ha ayudado a entidades estatales y organizaciones sin ánimo de lucro en la adopción de tecnologías de nube sobre AWS. Ha profundizado en temas de resiliencia, con énfasis en recuperación ante desastres. Le apasionan los temas de TI en las organizaciones, manejo de redes y diseño de sistemas resilientes.