Blog de Amazon Web Services (AWS)
Los 10 consejos de seguridad principales para mejorar su cuenta de AWS
Por Kimmy Wu, Arquitecto de Soluciones en AWS
Si desea mejorar la seguridad en la nube, un buen punto de partida es seguir los 10 consejos de seguridad en la nube que Stephen Schmidt, director general de seguridad de la información de AWS, que presentó en AWS re:Invent 2019. A continuación, se presentan los consejos expandidos para ayudarle a tomar medidas.
1. Mantenga los contactos actualizados en su cuenta
Cuando AWS necesita hablar con usted acerca de su cuenta de AWS, utilizamos la información de contacto definida en su consola de administración de AWS, incluido el correo electrónico utilizado para crear la cuenta y los demás correos electrónicos enumerados como contactos alternativos.
Todas las direcciones de correo electrónico deben configurarse para poder enviar a un «alias» o una lista de distribución, es decir, enviar mensajes de alerta y contacto de AWS a más de una persona. También debe tener un proceso para verificar regularmente que estas direcciones de correo electrónico funcionan y que está revisando estos correos electrónicos, especialmente las notificaciones de seguridad que puede recibir de abuse@amazon.com. Aprenda a configurar contactos alternativos para asegurarse de que alguien reciba mensajes importantes, incluso cuando no esté disponible
2. Utilice el segundo factor de autenticación (MFA)
MFA es la mejor manera de proteger las cuentas de accesos inadecuados. Configure siempre MFA para el usuario root y usuarios de AWS Identity and Access Management (IAM). Si utiliza AWS Single Sign-On (SSO) para controlar el acceso en AWS o para federar la gestión de la identidad corporativa, puede aplicar MFA. Implementar MFA en el directorio Identidad federada (IdP) implica que puede aprovechar el proceso de MFA existente en su organización. Para comenzar, consulte Uso de Multi-Factor Authentication (MFA) en AWS
3. Sin credenciales incrustadas en el código
Cuando crea aplicaciones en AWS, puede utilizar AWS IAM Role para asignar credenciales temporales de corta duración para llamadas de otros servicios de AWS. Sin embargo, algunas aplicaciones requieren credenciales de larga duración, como la contraseña de la base de datos u otras claves de API. Si este es el caso, nunca debe incorporar esas credenciales en la aplicación o en el código fuente.
Puede utilizar AWS Secrets Manager para controlar la información de su aplicación. AWS Secrets Manager le permite rotar, administrar y recuperar credenciales de bases de datos, claves API y otros secretos durante todo el ciclo de vida de cada uno. Los usuarios y las aplicaciones pueden recuperar los secretos con una llamada a las APIs de AWS Secrets Manager, eliminando la necesidad de incrustar información sensible en el código como texto sin formato. También debe aprender como utilizar un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2. Para obtener mejores resultados, obtenga información sobre cómo proporcionar credenciales de base de datos de forma segura a las funciones de Lambda mediante AWS Secrets Manager
4. Limitar grupos de seguridad
Los Security Groups son el mecanismo clave para permitir el acceso de red a los recursos aprovisionados en AWS. Asegurarse de que solo los puertos requeridos estén abiertos y que se permitan conexiones desde el rango de redes conocidas es un paso fundamental para la seguridad. Puede utilizar servicios como AWS Config o AWS Firewall Manager para programáticamente garantizar que la configuración de los Security Group de su Virtual Private Cloud (VPC) sean lo que desea. El paquete de reglas de acceso a redes analiza la configuración de red de Amazon Virtual Private Cloud (Amazon VPC) para determinar si se puede acceder a las instancias de Amazon EC2 desde redes externas, como Internet, una puerta de enlace privada virtual o AWS Direct Connect. AWS Firewall Manager se puede utilizar para aplicar automáticamente las reglas de AWS WAF a los recursos de Internet. Obtenga más información sobre cómo detectar y responder a los cambios en el grupo de seguridad en VPC.
5. Política de datos intencionales
No todos los datos son iguales, lo que significa que la clasificación correcta de los datos es crucial para su seguridad. Es importante adaptarse a los complejos cambios entre una postura de seguridad rígida y un ambiente ágil y flexible. Una postura de seguridad estricta, que requiere procedimientos de control de acceso prolongados, crea garantías más sólidas sobre la seguridad de los datos. Sin embargo, esta postura de seguridad puede contrarrestar ambientes de desarrollo ágiles y rápidos, donde los desarrolladores requieren acceso de autoservicio a los almacenes de datos. Cree su enfoque de clasificación de datos para satisfacer una amplia gama de requisitos de acceso.
La forma de clasificar los datos no tiene que ser tan binaria como pública o privada. Los datos vienen en diversos grados de sensibilidad y puede tener datos que caen en todos los diferentes niveles de sensibilidad y confidencialidad. Diseñe sus controles de seguridad de datos con una combinación adecuada de controles preventivos y de detección para que coincidan adecuadamente con la sensibilidad de los datos. En las sugerencias a continuación, nos ocupamos principalmente de la diferencia entre datos públicos y privados. Si actualmente no tiene una política de clasificación, pública frente a privada es un buen punto de partida.
Para proteger sus datos una vez clasificados, o durante su clasificación:
- Si tiene buckets de Amazon Simple Storage Service (Amazon S3) para uso público, mueva todos esos datos a una cuenta de AWS independiente reservada para el acceso público. Configure políticas para permitir que sólo los procesos (no humanos) muevan datos a esos buckets. Esto le permite bloquear la capacidad de hacer público un bucket de Amazon S3 en cualquier otra cuenta de AWS.
- Utilice Amazon S3 para bloquear el acceso públicoa cualquier cuenta que no pueda compartir datos a través de Amazon S3.
- Utilice dos roles de IAM diferentes para el cifrado y descifrado con KMS . Esto le permite separar la entrada de datos (cifrado) y la lectura de datos (descifrado), y le permite detectar amenazas en intentos de descifrados fallidos mediante el análisis de esa función.
6. Centralizar los logs de CloudTrail
Los logs y el monitoreo son partes importantes de un plan de seguridad sólido. Ser capaz de investigar cambios inesperados en su ambiente o realizar análisis para iterar su postura de seguridad depende de tener acceso a esos datos. AWS recomienda que guarde logs, especialmente desde AWS CloudTrail, en un bucket de Amazon S3 en una cuenta de AWS designada para logs (Log Archive). Los permisos en el bucket deben impedir la eliminación de logs y también deben cifrarse en el destino. Una vez que los logs están centralizados, puede integrarlos con las soluciones SIEM o utilizar los servicios de AWS para analizarlos. Obtenga más información sobre cómo utilizar los servicios de AWS para visualizar los logs de AWS CloudTrail. Después de centralizar los logs de AWS CloudTrail, también puede utilizar la misma cuenta de Log Archive para centralizar los logs de otras fuentes, como los logs de Amazon CloudWatch y los balanceadores de carga de AWS.
7. Validar roles de IAM
A medida que opera sus cuentas de AWS y crea nuevos recursos, puede terminar creando una serie de roles de IAM que luego descubrirá que no necesita. Utilice AWS IAM Access Analyzer para analizar el acceso a los recursos internos de AWS y determinar dónde ha compartido el acceso fuera de sus cuentas de AWS. La reevaluación rutinaria de los roles y permisos de AWS IAM con AWS Security Hub o productos de código abierto como Prowler, le dará la visibilidad que necesita para validar el cumplimiento de sus políticas de gobierno, riesgo y cumplimiento (GRC). Si usted ya cruzó este punto y ya ha creado varios roles, puede buscar roles de IAM no utilizados y eliminarlos.
8. Tomar medidas sobre los hallazgos de Amazon GuardDuty
AWS Security Hub, Amazon GuardDuty, y AWS IAM Access Analyzer son servicios administrados de AWS que proporcionan descubrimientos accionables en sus cuentas de AWS. Son fáciles de activar y se pueden integrar con varias cuentas. Activarlos es el primer paso. También debe tomar medidas cuando vea los hallazgos. Las acciones que se deben realizar están determinadas por su propia política de respuesta a incidentes. Para cada descubrimiento, asegúrese de haber determinado qué acciones de respuesta son necesarias.
La acción puede consistir en notificar a un humano para que responda, pero a medida que tenga más experiencia con los servicios de AWS, querrá automatizar la respuesta a los hallazgos generados por Security Hub o Amazon GuardDuty. Obtenga más información sobre cómo automatizar la respuesta y remediación de los hallazgos de Security Hub.
9. Rotar sus claves
Una de las cosas que proporciona AWS Security Hub es una visión de la postura de conformidad de sus cuentas de AWS usando benchmarks CIS . Una de estas comprobaciones es buscar usuarios de IAM con claves de acceso de más de 90 días. Si necesita usar claves de acceso en lugar de Roles de IAM, debe rotar regularmente. Revise las mejores prácticas para administrar las claves de acceso de AWS para obtener más información. Si sus usuarios acceden a AWS a través de federación, puede eliminar la necesidad de emitir claves de acceso de AWS a sus usuarios. Los usuarios se autentican en el IdP y asumen un rol de IAM en la cuenta de AWS de destino. El resultado es que no se requieren credenciales a largo plazo y su usuario tendrá credenciales a corto plazo asociadas con un rol de IAM.
10. Participar en el ciclo de desarrollo
Hasta este momento toda la orientación se ha centrado configurar la tecnología que puede implementar. El último consejo, “participar en el ciclo de desarrollo”, se refiere a las personas y se puede resumir en términos generales como “aumentar la cultura de seguridad de su organización”. El papel de las personas en cada parte de la organización es ayudar a la empresa a lanzar sus soluciones de forma segura. Como personas enfocadas en la seguridad, podemos guiar y educar al resto de nuestra organización para que entienda lo que necesitan hacer para elevar el nivel de seguridad en todo lo que construyen. La seguridad es el trabajo de todos, no sólo para aquellos que tienen el título.
Lo que las personas de seguridad de todas las organizaciones pueden hacer es facilitar la seguridad cambiando el proceso para que la acción sea más fácil y en lo deseable, sea casi la más segura. Por ejemplo, cada equipo no debe crear su propia federación de identidad o solución de logs. Somos más fuertes cuando trabajamos juntos, y eso también se aplica a la protección en la nube. El objetivo es hacer que la seguridad sea más accesible para que los compañeros de trabajo quieran hablar con el equipo de seguridad porque saben que es el lugar para obtener ayuda. Para obtener más información sobre cómo crear este tipo de equipo de seguridad, lea Cultivar el liderazgo en seguridad.
Ahora que ha revisado las 10 cosas principales para que su nube sea más segura, asegúrese de que las tiene configuradas en sus cuentas de AWS y ¡Construya de forma segura!
Este artículo fue traducido del Blog de AWS en Portugués.
Traducido por:
Kimmy Wu es Arquitecto de Soluciones y responsable de ayudar a los clientes empresariales con enfoque financiero a crear cargas de trabajo que permitan su viaje de transformación digital a la nube de AWS.
Sobre el Revisor
Francisco Fagas es Arquitecto de Soluciones Senior de AWS