Blog de Amazon Web Services (AWS)

DevSecOps: automatice las prácticas de seguridad con una biblioteca preparada para soluciones de AWS

Por Bruno Lopes, entrenador técnico, equipo de formación y certificación de AWS.

 

Las amenazas a la seguridad de la información siguen evolucionando continuamente, lo que dificulta las tareas de seguridad proactivas y reactivas, con altos costos de implementación y mucho tiempo de los profesionales de la seguridad. Definir rutinas automatizadas para estas responder a estas amenazas, siguiendo buenas prácticas de seguridad y cumplimiento basadas en estándares del mercado, es a la vez un reto que hay que lograr y un objetivo en el viaje de DevSecOps.

Eso es de lo que hablaremos en esta entrada de blog. Describiremos una solución que forma parte de la biblioteca de soluciones de AWS, AWS Solutions. Estas soluciones están diseñadas para ayudar a los clientes a solucionar problemas comunes y a crear más rápidamente mediante la plataforma de AWS. Todas las soluciones publicadas en esta plataforma son evaluadas por arquitectos de AWS y diseñadas para ofrecer fiabilidad, eficacia, seguridad y optimización del rendimiento y los costos, pilares fundamentales de la arquitectura AWS Well-Architected Framework.

Cada solución viene con una plantilla IAC ( Infra-Code , Infrastructure as Code) creada en JSON o YAML siguiendo el formato de construcción de infraestructura como código en AWS a través del servicio AWS CloudFormation; y también una guía de implementación, con instrucciones, estimación de costos, tiempo de aprovisionamiento y un diagrama de la arquitectura implementada para facilitar su comprensión y adopción.

La solución que describiremos aquí se denomina respuesta y remediación automatizadas de AWS Security Hub, y ofrece una implementación avanzada de AWS Security Hub, que incluye atributos presentes en productos como SIEM, CSPM y SOAR, que abarca la detección de amenazas, la correlación de eventos, el análisis de cumplimiento, el gobierno y la automatización de la respuesta a incidentes. Esta solución se basa en componentes críticos de la infraestructura de AWS, como AWS Config, y otros complementos como Amazon GuardDuty, Amazon EventBridge, AWS Organizaciones, etc.

 

Resumen de la solución

 

Figura 1 : Arquitectura de solución

 

La solución consta de cuatro etapas, descritas como «flujos de trabajo», que se pueden ver en la ilustración de arquitectura justo arriba: ( 1) Detección, (2) Ingestión, (3) Remediación y(4) Registros . Estos pasos se pueden implementar en un entorno de una sola cuenta de AWS o en un entorno de múltiples cuentas, una nueva característica incluida en la última versión de esta solución.

Es importante tener en cuenta que existen requisitos previos no solo para trabajar con la solución, sino también algunos servicios que utiliza, como AWS Config for AWS Security Hub, entre otros. Consulte la sección de requisitos previos a continuación para prepararse más adecuadamente para su implementación.

Poco después de ejecutar la plantilla CloudFormation, se crean dos Pilas: la primera, para configurar la estructura básica de la solución, utilizando características como tópicos SNS, parámetros de Systems Manager, KMS, y roles y políticas de IAM.

 

Figura 2 – Pila principal

 

En la segunda pila , se configuran los Playbooks, un conjunto de tareas de análisis y remediación agrupadas con el objetivo de organizar y facilitar la administración. Se pueden habilitar o deshabilitar a través de AWS Service Catalog, y pueden personalizarse o incluso insertarse en nuevas versiones de esta solución en el futuro. En el momento en que se creó este artículo, había alrededor de 18 Playbooks disponibles en un solo portafolio de la solución, llamado Security Hub Playbooks.

 

Figura 3 – Pila secundaria

 

AWS Service Catalog se puede utilizar para crear un «catálogo de productos» en AWS, donde puede ofrecer en este catálogo servicios aprovisionados en la nube de AWS mediante plantillas de CloudFormation, ya configuradas correctamente con sus prácticas recomendadas, requisitos de cumplimiento y reglamentos, y ofrecer todo esto a sus usuarios a través de un Portafolio, publicado en un portal propio.

 

Figura 4 – Catálogo de servicios

 

Así que vayamos a las etapas:

  1. Detección: En esta fase, la característica principal de la solución, que es AWS Security Hub, trabaja en la recopilación de eventos y datos de diversas fuentes, como AWS Config, GuardDuty, Firewall Manager, entre otras. Puede habilitar servicios adicionales en Security Hub que no aparecen en la solución, como el servicio de detección y protección de datos confidenciales de Amazon Macie, el nuevo Amazon Audit Manager para automatización de auditorías, IAM Access Analyzer para comprobar permisos excesivos e incluso soluciones de partners de Marketplace. En este paso, también correlacionará estos eventos con los «paquetes de cumplimiento» que forman parte del Security Hub y dará mayor alcance al rendimiento de las comprobaciones de seguridad. En el caso de esta solución, se utiliza el Benchmark de CIS AWS Foundation. Al final de este artículo hablaremos un poco sobre ello en la sección de recursos adicionales.
  2. Ingestión: Poco después del descubrimiento, se inicia el procesamiento y el flujo de trabajo dentro de la solución. Los eventos de Amazon EventBridge (también conocido como CloudWatch Events) se activarán mediante personalizaciones de Security Hub en la sección Acciones personalizadas. Estos eventos servirán como desencadenadores para Lambda Functions o Systems Manager Automation Documents. Vale la pena señalar aquí que los clientes pueden definir si quieren automatizar el proceso de remediación o si quieren mantenerlo manual.

 

Figura 5 : Acciones personalizadas de Security Hub

 

  1. Remediación: Aquí se ejecutarán los procesos definidos por las tareas de reparación de los hallazgos detectados como no conformes. Dependiendo del elemento que se esté reparando, puede utilizar una función Lambda o un documento de automatización de Systems Manager. Las funciones Lambda se utilizan habitualmente cuando se requiere la interacción entre cuentas de AWS para centralizar la gestión de soluciones para entornos con múltiples cuentas.

 

Figura 6 – Función SHARR Lambda

 

Figura 7 – Documentos de Automatización de Systems Manager

 

 

  1. Registros: Después de realizar acciones para remediar los hallazgos encontrados, los Playbooks regresan con los resultados de las acciones y los almacenan en CloudWatch Logs. Esto permite obtener detalles para el análisis póstumo y la auditoría de cada ítem mitigado, y de las acciones respectivas que se llevaron a cabo. El proceso también desencadena un tópico SNS para enviar notificaciones a los administradores, o incluso otras acciones, como enviar una llamada a Zendesk. También debe notificar a Security Hub para que se resuelvan los eventos alarmados en el panel. A continuación, el flujo también cambia el estado de los hallazgos de Security Hub a «RESUELTO».

 

Figura 8 – Panel de Security Hub

 

Requisitos previos y servicios de AWS

Para la configuración de esta solución, se requieren algunos servicios como requisitos previos, y otros se utilizarán como parte de la construcción final de la solución.

  • AWS Config debe habilitarse de antemano como requisito para AWS Security Hub. Curiosamente, aunque AWS Config tiene un costo por uso, en este caso específicamente no se cobrará a los clientes por una configuración habilitada para Security Hub, como podemos ver aquí.
  • AWS Security Hub debe estar activo en la región de implementación de la solución;
  • AWS CloudFormation y AWS CDK , para aprovisionar y automatizar la infraestructura necesaria para la implementación y personalización de la solución;
  • Roles de AWS IAM , políticas STS y tokens para todo el proceso de seguridad y permisos de la solución, especialmente cuando se utilizan entre cuentas de AWS (cuentas cruzadas);
  • AWS Systems Manager para remediar algunas situaciones mediante documentos de automatización;
  • AWS Lambda para corregir otras situaciones con un mayor nivel de personalización e interacción con los SDK de AWS, por ejemplo;
  • Amazon EventBridge (también conocido como Amazon CloudWatch Events), que servirá de desencadenante para iniciar procesos de corrección de fase tres;
  • Amazon SNS para proporcionar tópicos de notificación, que pueden ir desde acciones simples de envío de correo electrónico a equipos NOC/SOC, o incluso enviar una solicitud HTTP a un sistema de tickets, hasta finalizar una llamada crítica abierta, por ejemplo.

 

Características adicionales

Para configurar guías, se utilizaron las recomendaciones descritas anteriormente en el Benchmark de AWS de CIS, que tienen varias prácticas recomendadas para la seguridad dentro de los entornos de nube de AWS.

  • CIS AWS Foundation Benchmark : este documento proporciona orientación detallada para configurar las opciones de seguridad para un subconjunto específico de Amazon Web Services, con énfasis en configuraciones críticas, arquitecturas comprobables y agnósticas. Este estándar se creó mediante un proceso de examen consensuado integrado por expertos en la materia. Los participantes proporcionan información sobre un conjunto diverso de antecedentes, incluyendo consultoría, desarrollo de software, auditoría y cumplimiento normativo, investigación de seguridad, operaciones, gobierno y legal. Cada punto de referencia del CIS pasa por dos fases de revisión. La primera fase se produce durante el desarrollo inicial de referencia. Durante esta fase, el Experto en la Materia (PYME) se reúne para discutir, crear y probar borradores de soluciones de referencia. Este debate se lleva a cabo hasta que se llegue a un consenso sobre las recomendaciones documentadas. La segunda fase comienza después de la publicación del índice de referencia. Durante esta fase, todos los comentarios proporcionados por la comunidad de Internet son revisados por el equipo para su incorporación al punto de referencia del CIS.
  • Playbooks de la versión 1. 0 : acciones de supervisión y corrección diseñadas para automatizar las tareas detectadas por AWS Security Hub. A continuación podemos ver una lista de cada uno de ellos, y el enlace a la documentación en la numeración respectiva:

1.3 — Asegúrese de que las credenciales no utilizadas durante 90 días o más estén deshabilitadas

1.4 — Asegúrese de que las claves de acceso se rotan cada 90 días o menos

1.5 — Asegúrese de que la política de contraseñas de IAM requiere al menos una mayúscula

1.6 — Asegúrese de que la política de contraseñas de IAM requiere al menos una letra minúscula

1.7 — Asegúrese de que la directiva de contraseñas de IAM requiere al menos un símbolo

1.8 — Asegúrese de que la política de contraseñas de IAM requiere al menos un número

1.9 — Asegúrese de que la política de contraseñas de IAM requiere una longitud mínima de 14 o más

1.10 — Asegurarse de que la directiva de contraseñas de IAM impide la reutilización

1.11 — Asegúrese de que la Política de Contraseñas de IAM caduque las contraseñas en 90 días o menos

2.2 — Asegúrese de que la validación del archivo de registro de CloudTrail esté habilitada

2.3 — Asegúrese de que el bucket S3 de CloudTrail no sea accesible públicamente

2.4 — Asegúrese de que los registros de CloudTrail estén integrados con los registros de Amazon CloudWatch

2.6 — Asegúrese de que el registro de acceso al bucket S3 esté habilitado en el bucket de CloudTrail

2.8 — Asegúrese de que la rotación de los CMK creados por el cliente esté habilitada

2.9 — Asegúrese de que los registros de flujo de VPC (VPC Flow Logs) están habilitados en todas las VPC

4.1 — Asegúrese de que ningún grupo de seguridad permita la entrada de 0.0.0.0/0 para el puerto 22

4.2 — Asegúrese de que ningún grupo de seguridad permita la entrada de 0.0.0.0/0 para el puerto 3389

4.3 — Asegúrese de que el grupo de seguridad predeterminado para cada VPC restringe todo el tráfico

 

Personalizaciones y desinstalación de la solución

Los recursos para esta solución se crearon con AWS CDK, una forma diferente y eficiente de escribir Infrastructure como código para AWS. Pueden personalizarse fácilmente para adaptarse a sus necesidades de implementación, lo que incluye tener el código de solución abierto y disponible en el repositorio de GitHub de AWS Labs.

Si ya no está interesado en mantener la solución, puede eliminarla a través de la interfaz CloudFormation, a través de la cual se aprovisionó. Simplemente elimine la pila principal y comenzará el proceso de desaprovisionamiento de los recursos. Tenga en cuenta que algunos recursos creados manualmente pueden no eliminarse junto con la pila. Otros se mantendrán deliberadamente, como los registros de CloudWatch Logs, para mantener las políticas de cumplimiento de las organizaciones de acuerdo con sus preferencias.

Conclusión

En esta publicación de blog, explicamos acerca de la solución SHARR : AWS Security Hub Automated Response and Remediation, creada por AWS para ayudar en la parametrización de AWS Security Hub, lo que ofrece oportunidades para la automatización y corrección de situaciones descritas en la guía de referencia de CIS AWS Foundation Benchmark.

También explicamos qué fases contempla la solución y qué acciones y servicios se utilizan en cada una de ellas. Hemos sido capaces de entender sus beneficios para ayudar a las estrategias de DevSecCops dentro de nuestras organizaciones, brindando seguridad sin comprometer la agilidad y los procesos.

 

Este artículo fue traducido del Blog de AWS en Portugués.

 

Sobre el autor

Bruno Lopes es formador técnico del equipo de AWS LATAM. Ha trabajado con soluciones de TI durante más de 12 años, con numerosas experiencias en cargas de trabajo de Microsoft, entornos híbridos y habilitación técnica para clientes en su cartera. Como Entrenador, lleva más de 6 años dedicando sus días a enseñar tecnologías de vanguardia a clientes latinoamericanos.

 

 

 

Revisores

Caio Ribeiro Cesar trabaja actualmente como arquitecto de soluciones especializadas en tecnología de Microsoft en la nube de AWS. Comenzó su carrera profesional como administrador de sistemas, quien continuó durante más de 13 años en áreas como Seguridad de la Información, Identidad Online y Plataformas de correo electrónico empresarial. Recientemente se convirtió en un fan de la computación en la nube de AWS y ayuda a los clientes a aprovechar el poder de la tecnología de Microsoft en AWS.

 

 

 

Daniel Garcia es un arquitecto experto en soluciones de seguridad con más de 20 años de experiencia en tecnología y seguridad de la información. Daniel trabaja continuamente para ayudar a las empresas de múltiples segmentos y geografías a definir, planificar e implementar con éxito sus estrategias de ciberseguridad.