Blog de Amazon Web Services (AWS)

Los 10 consejos de seguridad principales para mejorar su cuenta de AWS

Por Kimmy Wu, Arquitecto de Soluciones en AWS

 

Si desea mejorar la seguridad en la nube, un buen punto de partida es seguir los 10 consejos de seguridad en la nube que Stephen Schmidt, director general de seguridad de la información de AWS, presentó en AWS re:Invent 2019. A continuación se presentan los consejos, expandidos para ayudarle a tomar medidas.

 

 

1) Mantenga los contactos actualizados en su cuenta

Cuando AWS necesita hablar con usted acerca de su cuenta de AWS, utilizamos la información de contacto definida en AWS Management Console, incluido el correo electrónico utilizado para crear la cuenta y los demás correos electrónicos enumerados como contactos alternativos.

Todas las direcciones de correo electrónico deben configurarse para que se entreguen en un «alias» o una lista de correo, es decir, enviar mensajes de alerta y contacto de AWS a más de una persona. También debe tener un proceso para verificar regularmente que estas direcciones de correo electrónico funcionan y que está evaluando estos correos electrónicos, especialmente las notificaciones de seguridad que puede recibir de abuse@amazon.com. Aprenda a establecer contactos alternativos para asegurarse de que alguien reciba mensajes importantes, incluso cuando no esté disponible.

2) Utilizar el segundo factor de autenticación (MFA)

MFA es la mejor manera de proteger las cuentas del acceso incorrecto. Configure siempre MFA para el usuario raíz y los usuarios de AWS Identity and Access Management (IAM). Si utiliza  AWS Single Sign-On (SSO) para controlar el acceso en AWS o para federar la gestión de la identidad corporativa, puede aplicar MFA. La implementación de MFA en el directorio Identidad federada (IdP) implica que puede aprovechar el proceso de MFA existente en su organización. Para empezar, consulte Uso de varios hechos de autenticación (MFA)

3) No hay credenciales incrustadas en el código

Cuando crea aplicaciones en AWS, puede utilizar AWS IAM Role para asignar credenciales temporales de corta duración para llamadas de otros servicios de AWS. Sin embargo, algunas aplicaciones requieren credenciales de larga duración, como la contraseña de la base de datos u otras claves API. Si este es el caso, nunca debe incorporar la información a la aplicación o al código fuente.

Puede utilizar AWS Secrets Manager para controlar la información de su aplicación. Secrets Manager le permite rotar, administrar y recuperar credenciales para la base de datos, claves API y otros secretos durante todo el ciclo de vida. Los usuarios y las aplicaciones pueden recuperar secretos con una llamada a las API de Secrets Manager, eliminando la necesidad de incrustar información en el código como texto sin formato. También debe aprender a utilizar las funciones de AWS IAM para aplicaciones que se ejecutan en Amazon EC2. Para obtener mejores resultados, obtenga información sobre cómo proporcionar credenciales de base de datos de forma segura para las funciones de AWS Lambda mediante Secrets Manager

4) Limitar grupos de seguridad

Grupos de seguridad es el modo clave para permitir el acceso a la red a los recursos aprovisionados en AWS. Garantizar que solo los puertos requeridos estén abiertos y que se permitan conexiones desde el rango de redes conocidas es un paso clave para la seguridad. Puede utilizar servicios como  AWS Config o AWS  Firewall Manager para garantizar mediante programación que la configuración del grupo de seguridad de Virtual Private Cloud (VPC) es la que se pretende. El paquete de reglas de acceso a redes analiza la configuración de red de Amazon Virtual Private Cloud (Amazon VPC) para determinar si se puede acceder a las instancias de Amazon EC2 desde redes externas como Internet, una puerta de enlace privada virtual o AWS Direct Connect. AWS Firewall Manager se puede utilizar para aplicar automáticamente las reglas WAF de AWS a los recursos orientados a Internet. Obtenga más información sobre cómo detectar y responder a los cambios en el grupo de seguridad en VPC.

5) Política de datos intencionales

No todos los datos se crean iguales, lo que significa que la clasificación correcta de los datos es crucial para su seguridad. Es importante adaptarse a los complejos cambios entre una postura de seguridad rígida y un entorno ágil flexible. Una postura de seguridad estricta que requiere procedimientos de control de acceso largos crea garantías más sólidas sobre la seguridad de los datos. Sin embargo, esta postura de seguridad puede contrarrestar entornos de desarrollo ágiles y de ritmo rápido en los que los desarrolladores requieren acceso de autoservicio a data stores. Desarrolle su enfoque de clasificación de datos para satisfacer una amplia gama de requisitos de acceso.

Debido a que clasifica los datos no tiene que ser tan binarios como públicos o privados. Los datos vienen en diversos grados de sensibilidad y puede tener datos que caen en todos los diferentes niveles de sensibilidad y confidencialidad. Diseñe sus controles de seguridad de datos con una combinación adecuada de controles preventivos y de detectives para que coincida adecuadamente con la sensibilidad de los datos. En las siguientes sugerencias, nos ocupamos principalmente de la diferencia entre datos públicos y privados. Si actualmente no tiene una política de clasificación, público frente a privado es un buen punto de partida.

Para proteger sus datos una vez clasificados, o durante su clasificación:

  1. Si tiene un bucket de Amazon Simple Storage Service (Amazon S3) para uso público, mueva todos estos datos a una cuenta de AWS independiente reservada para el acceso público. Configure directivas para permitir que sólo los procesos (no humanos) muevan datos a estos depósitos. Esto le permite bloquear la capacidad de convertir un bucket público de Amazon S3 en cualquier otra cuenta de AWS.
  2. Utilice Amazon S3 para bloquear el acceso públicoa cualquier cuenta que no pueda compartir datos a través de Amazon S3.
  3. Utilice dos funciones diferentes de IAM para el cifrado y el descifrado con KMS . Esto le permite separar la entrada de datos (cifrado) y la revisión de datos (descifrado) y permite detectar amenazas en intentos de descifrado fallidos mediante el análisis de esta función.

6) Centralizar los registros de CloudTrail

El registro y la supervisión son partes importantes de un sólido plan de seguridad. Ser capaz de investigar cambios inesperados en su entorno o realizar análisis para iterar su postura de seguridad depende de tener acceso a sus datos. AWS recomienda escribir registros, especialmente desde AWS CloudTrail, en un bucket S3 en una cuenta de AWS designada para el registro. Los permisos en el bucket deben impedir la eliminación de los registros y también deben cifrarse en reposo. Una vez que los registros están centralizados, puede integrarse con las soluciones SIEM o utilizar los servicios de AWS para analizarlos. Obtenga información sobre cómo utilizar los servicios de AWS para ver los registros de AWS CloudTrail. Después de centralizar los registros de CloudTrail, también puede utilizar la misma cuenta de archivo de registros para centralizar los registros de otras fuentes, como los registros de CloudWatch y los equilibradores de carga de AWS.

7) Validar roles de IAM

A medida que opere sus cuentas de AWS para crear recursos, puede terminar creando varios roles de IAM que más tarde descubra que no necesita. Utilice AWS IAM Access Analyzer  para analizar el acceso a los recursos internos de AWS y determinar dónde ha compartido el acceso fuera de sus cuentas de AWS. La reevaluación rutinaria de los roles y permisos de AWS IAM con Security Hub o productos de código abierto como Prowler le dará la visibilidad que necesita para validar el cumplimiento de sus políticas de gobierno, riesgo y cumplimiento (GRC). Si ya ha superado este punto y ya ha creado varios roles, puede buscar roles de IAM no utilizados y eliminarlos.

8) Actuar sobre las conclusiones de Amazon GuardDuty

AWS Security Hub, Amazon GuardDuty, y AWS Identity and Access Management Access Analyzer son servicios gestionados de AWS que proporcionan descubrimientos accionables en sus cuentas de AWS. Son fáciles de activar y se pueden integrar en varias cuentas. Conectarlos es el primer paso. También debe tomar medidas cuando vea los hallazgos. Las acciones que se deben realizar están determinadas por su propia política de respuesta a incidentes. Para cada descubrimiento, asegúrese de haber determinado qué acciones de respuesta deben ser necesarias.

La acción puede consistir en notificar a un humano para que responda, pero a medida que tenga más experiencia con los servicios de AWS, querrá automatizar la respuesta a las conclusiones generadas por Security Hub o GuardDuty. Obtenga más información sobre cómo automatizar la respuesta y la corrección de las conclusiones de Security Hub.

9) Teclas giratorias

Una de las cosas que proporciona Security Hub es una visión de la postura de conformidad de sus cuentas de AWS mediante pruebas de CIS . Una de estas comprobaciones es buscar usuarios de IAM con claves de acceso de más de 90 días. Si necesita usar claves de acceso en lugar de Roles de IAM, debe rotar regularmente. Revise las prácticas recomendadas para administrar las claves de acceso de AWS para obtener más información. Si sus usuarios acceden a AWS a través de la federación, puede eliminar la necesidad de emitir claves de acceso de AWS a sus usuarios. Los usuarios se autentican en el IdP y asumen un rol de IAM en la cuenta de AWS de destino. El resultado es que no se requieren credenciales a largo plazo y que el usuario tendrá credenciales a corto plazo asociadas a un rol de IAM.

10) Participar en el ciclo de desarrollo

Toda la orientación hasta ahora se ha centrado en la configuración tecnológica que puede implementar. El último consejo, «participar en el ciclo de desarrollo», se refiere a las personas y se puede resumir ampliamente como «aumentar la cultura de seguridad de su organización». El papel de las personas en cada parte de la organización es ayudar a la empresa a lanzar sus soluciones de forma segura. Como personas enfocadas en la seguridad, podemos guiar y educar al resto de nuestra organización para que entienda lo que necesitan hacer para elevar el nivel de seguridad en todo lo que construyen. La seguridad es el trabajo de todos, no sólo para aquellos que tienen el título.

Lo que la gente de seguridad de todas las organizaciones puede hacer es facilitar la seguridad cambiando el proceso para que la acción sea más fácil y deseable, que es casi la más segura. Por ejemplo, cada equipo no debe crear su propia federación de identidad o solución de registro. Somos más fuertes cuando trabajamos juntos, y eso también se aplica a la protección en la nube. El objetivo es hacer que la seguridad sea más accesible para que los compañeros de trabajo quieran hablar con el equipo de seguridad porque saben que es el lugar para obtener ayuda. Para obtener más información sobre cómo crear este tipo de equipo de seguridad, lea Cultivando liderazgo en seguridad.

Ahora que ha revisado las 10 cosas principales para que su nube sea más segura, asegúrese de que las tiene configuradas en sus cuentas de AWS y crear de forma segura.

 

Este artículo fue traducido del Blog de AWS en Portugués.

 


Traducido por:

 

Kimmy Wu es arquitecto de soluciones y responsable de ayudar a los clientes empresariales con enfoque financiero a crear cargas de trabajo que permitan su viaje de transformación digital a la nube de AWS.