Los 10 elementos de seguridad principales para mejorar en su cuenta de AWS

Si está buscando mejorar la seguridad de su nube, un buen lugar para comenzar es seguir los 10 consejos de seguridad en la nube más importantes que Stephen Schmidt, director de seguridad de la información de AWS, presentó en AWS re:Invent 2019. A continuación se muestran las sugerencias, ampliadas para ayudarlo a tomar las medidas adecuadas.

1) Información precisa en la cuenta

Cuando AWS necesita comunicarse con usted acerca de su cuenta de AWS, usamos la información de contacto definida en la Consola de administración de AWS, incluida la dirección de correo electrónico utilizada para crear la cuenta y las que se enumeran en Contactos alternativos. Todas las direcciones de correo electrónico deben configurarse para ir a un alias que no dependan de una sola persona. También debe tener implementado un proceso para verificar periódicamente que estas direcciones de correo electrónico funcionan y que está respondiendo a los correos electrónicos, especialmente las notificaciones de seguridad que puede recibir de abuse@amazon.com. Aprenda a configurar los contactos alternativos para asegurarse de que alguien reciba mensajes importantes, incluso cuando usted no esté disponible.

2) Usa autenticación multifactor (MFA)

MFA es la mejor forma de proteger las cuentas de un acceso inapropiado. Configure siempre MFA en su usuario Root y en los usuarios de AWS Identity and Access Management (IAM). Si usa AWS Single Sign-On (SSO) para controlar el acceso a AWS o para federar la identidad corporativa, puede requerir MFA. La implementación de MFA en el proveedor de identidad federado (IdP) significa que puede aprovechar los procesos de MFA existentes en su organización. Para comenzar, consulte Uso de la autenticación multifactor (MFA) en AWS.

3) No establecer secretos estáticos

Cuando crea aplicaciones en AWS, puede usar roles de AWS IAM para entregar credenciales temporales y de corta duración para llamar a los servicios de AWS. Sin embargo, algunas aplicaciones requieren credenciales de mayor duración, como contraseñas de bases de datos u otras API Keys. Si este es el caso, nunca debe establecer estos secretos en la aplicación ni almacenarlos en el código fuente.

Puede utilizar AWS Secrets Manager para controlar la información en su aplicación. Secrets Manager le permite rotar, administrar y recuperar credenciales de base de datos, API Keys y otros secretos a través de su ciclo de vida. Los usuarios y las aplicaciones pueden recuperar secretos con una llamada a las APIs de Secrets Manager, lo que elimina la necesidad de establecer información confidencial en texto plano.

También debe aprender a usar los roles de AWS IAM para aplicaciones que se ejecutan en Amazon EC2. Además, para obtener los mejores resultados, aprenda a proporcionar credenciales de base de datos de forma segura a las funciones AWS Lambda mediante AWS Secrets Manager.

4) Limitar los Security Groups

Los Security Groups son clave para habilitar el acceso de red a los recursos que ha aprovisionado en AWS. Asegurarse de que solo los puertos requeridos estén abiertos y la conexión esté habilitada desde rangos de red conocidos es un enfoque fundamental para la seguridad. Puede utilizar servicios como AWS Config o AWS Firewall Manager para garantizar mediante programación que la configuración del Security Group del Virtual Private Cloud (VPC) sea la deseada. El paquete de reglas de accesibilidad a la red analiza la configuración de red de su Amazon Virtual Private Cloud (Amazon VPC) para determinar si se puede acceder a sus instancias Amazon EC2 desde redes externas, como Internet, una puerta de enlace privada virtual o AWS Direct Connect. AWS Firewall Manager también se puede utilizar para aplicar automáticamente las reglas de AWS WAF a los recursos conectados a Internet en sus cuentas de AWS. Obtenga más información sobre cómo detectar y responder a cambios en los VPC Security Groups.

5) Políticas de datos

No todos los datos se crean de la misma manera, lo que significa que clasificar los datos correctamente es crucial para su seguridad. Es importante adaptarse a las complejas compensaciones entre una postura de seguridad estricta y un entorno ágil y flexible. Una postura de seguridad estricta, que requiere procedimientos de control de acceso prolongados, crea garantías más sólidas sobre la seguridad de los datos. Sin embargo, tal postura de seguridad puede funcionar en contra de los entornos de desarrollo ágiles y de ritmo rápido, donde los desarrolladores requieren acceso de autoservicio a los almacenes de datos. Diseñe su enfoque de clasificación de datos para cumplir con una amplia gama de requisitos de acceso.

La forma de clasificar los datos no tiene por qué ser tan binaria como pública o privada. Los datos tienen varios grados de sensibilidad y es posible que tenga datos que se encuentren en todos los diferentes niveles de sensibilidad y confidencialidad. Diseñe sus controles de seguridad de datos con una combinación adecuada de controles preventivos y de detección para que coincida con la sensibilidad de los datos de manera adecuada. En las sugerencias a continuación, nos ocupamos principalmente de la diferencia entre datos públicos y privados. Si no tiene una política de clasificación actualmente, lo público frente a lo privado es un buen lugar para comenzar.

Para proteger sus datos una vez clasificados o mientras los está clasificando:

1. Si tiene buckets de Amazon Simple Storage Service (Amazon S3) que son para uso público, mueva todos esos datos a una cuenta de AWS separada reservada para acceso público. Configure políticas para permitir que solo los procesos — no los humanos — muevan datos a esos buckets. Esto le permite bloquear la capacidad de hacer un bucket de Amazon S3 público en cualquier otra cuenta de AWS.
2. Utilice Amazon S3 para bloquear el acceso público en cualquier cuenta que no debería poder compartir datos a través de Amazon S3.
3. Utilice dos roles de IAM diferentes para el cifrado y el descifrado con KMS. Esto le permite separar la entrada de datos (cifrado) y la revisión de datos (descifrado), y le permite realizar una detección de amenazas en los intentos fallidos de descifrado mediante el análisis de ese rol.

6) Centralizar los logs de CloudTrail

El registro y la supervisión son partes importantes de un plan de seguridad sólido. Poder investigar cambios inesperados en su entorno o realizar análisis para iterar sobre su postura de seguridad depende de tener acceso a los datos. AWS recomienda que escriba registros, especialmente de AWS CloudTrail, en un bucket de S3 en una cuenta de AWS designada para el registro (Archivado de Logs). Los permisos en el S3 Bucket deben evitar la eliminación de los registros y también deben estar encriptados. Una vez que los registros están centralizados, puede integrarlos con las soluciones SIEM o utilizar los servicios de AWS para analizarlos. Aprenda a utilizar los servicios de AWS para visualizar los registros de AWS CloudTrail. Una vez que tenga los logs de CloudTrail centralizados, también puede usar la misma cuenta de Archivado de Logs para centralizar los registros de otras fuentes, como CloudWatch Logs y los balanceadores de carga de AWS.

7) Validar los roles de IAM

A medida que opera sus cuentas de AWS para iterar y desarrollar capacidades, puede terminar creando múltiples roles de IAM que luego descubra que no necesita. Utilice AWS IAM Access Analyzer para revisar el acceso a sus recursos internos de AWS y determinar dónde tiene accesos compartidos externos a sus cuentas de AWS. La reevaluación periódica de los roles y permisos de AWS IAM con Security Hub o productos de código abierto como Prowler le brindará la visibilidad necesaria para validar el cumplimiento de sus políticas de Gobernabilidad, Riesgo y Cumplimiento (GRC). Si ya ha superado este punto y ya ha creado varios roles, puede buscar roles de IAM que no se están usando y proceder a eliminarlos.

8) Tomar acciones sobre los hallazgos (¡Esto ya no es solo GuardDuty!)

AWS Security Hub, Amazon GuardDuty y AWS Identity and Access Management Access Analyzer son servicios administrados de AWS que le brindan hallazgos procesables en sus cuentas de AWS. Son fáciles de activar y se pueden integrar en varias cuentas. Habilitarlos es el primer paso. También debe tomar medidas cuando vea hallazgos. Las acciones a tomar están determinadas por su propia política de respuesta a incidentes. Para cada hallazgo, asegúrese de haber definido cuáles deben ser sus acciones requeridas de respuesta.

La acción puede consistir en notificar a una persona para que responda, pero a medida que adquiera más experiencia en los servicios de AWS, querrá automatizar la respuesta a los hallazgos generados por Security Hub o GuardDuty. Obtenga más información sobre cómo automatizar su respuesta y corrección a partir de los hallazgos de Security Hub.

9) Rotar claves de acceso

Una de las características que proporciona Security Hub es una visión de la postura de conformidad de sus cuentas de AWS utilizando los puntos de referencia de CIS. Una de estas comprobaciones es buscar usuarios de IAM con claves de acceso de más de 90 días. Si necesita usar claves de acceso en lugar de roles, debe rotarlas regularmente. Consulte las mejores prácticas para administrar las claves de acceso de AWS para obtener más información. Si sus usuarios acceden a AWS a través de acceso federado, entonces puede eliminar la necesidad de emitir claves de acceso de AWS para sus usuarios. Los usuarios se autentican en el IdP y asumen un rol de IAM en la cuenta de AWS de destino. El resultado es que no se necesitan credenciales a largo plazo y su usuario tendrá credenciales a corto plazo asociadas con un rol de IAM.

10) Involucrarse en el ciclo de desarrollo

Toda la información hasta este punto se ha centrado en la configuración de tecnología que puede implementar. El último consejo, «participe en el ciclo de desarrollo», se refiere a las personas y se puede resumir en términos generales como «mejorar la cultura de seguridad de su organización». El papel de las personas en todas las partes de la organización es ayudar a la empresa a lanzar sus soluciones de forma segura. Como personas enfocadas en la seguridad, podemos guiar y educar al resto de nuestra organización para que comprendan lo que deben hacer para mejorar el nivel de seguridad en todo lo que construyen. La seguridad es la responsabilidad de todos, no solo de las personas que trabajan en esos roles.

Lo que los responsables de seguridad en cada organización pueden hacer es facilitar la seguridad, cambiando el proceso para que la acción sea más fácil y más segura. Por ejemplo, cada equipo no debe crear su propia federación de identidad o solución de registro. Somos más fuertes cuando trabajamos juntos, y esto también se aplica a la protección de la nube. El objetivo es hacer que la seguridad sea más accesible para que los compañeros de trabajo quieran hablar con el equipo de seguridad porque saben que es el lugar para obtener ayuda. Para obtener más información sobre cómo crear este tipo de equipo de seguridad, lea Cultivar el liderazgo en seguridad.

Ahora que ha revisado los 10 elementos principales para hacer que su nube sea más segura, asegúrese de tenerlas configuradas en sus cuentas de AWS, ¡y construya de forma segura!

Si tiene comentarios sobre esta publicación, envíe sus comentarios en la sección Comentarios a continuación.

¿Desea más contenido instructivo de AWS Security, noticias y anuncios de funcionalidades? Síguenos en Twitter.

Este blogpost es una traducción por Alberto Lopez Pazos (AWS Technical Account Manager) del original en Inglés.