Nueve prácticas recomendadas de AWS Security Hub

AWS Security Hub es un servicio de seguridad y conformidad disponible desde el 25 de junio de 2019. Le ofrece una amplia visión de su estado de seguridad y conformidad en múltiples cuentas de AWS, con un solo panel por región. Este servicio le ayuda a monitorizar ajustes críticos para asegurar la seguridad de sus cuentas de AWS, lo que le permite descubrir y reaccionar con rapidez ante cualquier cambio de su entorno.

AWS Security Hub agrega, organiza y prioriza hallazgos de seguridad desde servicios de AWS compatibles (Amazon GuardDuty, Amazon Inspector y Amazon Macie, hasta la fecha de publicación de esta entrada) y de diferentes soluciones de seguridad de socios de AWS. AWS Security Hub también genera sus propios hallazgos a partir de configuración automatizada, a nivel de recursos y a nivel de cuenta, y comprobaciones de conformidad mediante reglas vinculadas al servicio de AWS Config, además de otras técnicas de análisis. Estas comprobaciones le ayudan a mantener la conformidad de sus cuentas de AWS con los estándares y mejores prácticas de la industria, además de los estándares del Center for Internet Security (CIS, Centro para la seguridad de Internet) de AWS Foundations.

En esta publicación, ofreceré nueve prácticas recomendadas para ayudarle a usar AWS Security Hub con tanta eficacia como sea posible.

1. Usar el script de AWS Labs para activar Security Hub en todas sus cuentas de AWS de cualquier región para establecer su jerarquía maestro/miembro de Amazon GuardDuty

Como práctica recomendada, debería monitorizar de forma continua todas las regiones de todas sus cuentas AWS para detectar comportamientos no autorizados o errores de configuración, incluso en regiones donde no se hace un uso intensivo. AWS siempre recomienda esta práctica cuando se usan servicios de monitorización como AWS Config y AWS CloudTrail. Le recomiendo que active Security Hub en todas las regiones disponibles de sus cuentas AWS.

Además, también puede invitar a otras cuentas de AWS a activar Security Hub y compartir hallazgos con su cuenta de AWS. Si envía una invitación y el propietario de otra cuenta la acepta, su cuenta de Security Hub queda designada como la cuenta maestra, y cualquier cuenta de Security Hub asociada se convertirá en cuenta de miembro. A partir de ese momento, los usuarios de la cuenta maestra podrán ver los hallazgos de Security Hub de las cuentas de miembro.

Para simplificar estas configuraciones, puede utilizar el script de AWS Labs disponible en GitHub, que brinda una guía paso a paso para automatizar este proceso. Este script le permite activar (y desactivar) AWS Security Hub de forma simultánea en una lista de cuentas de AWS asociadas y agregarlas en conjunto para convertirlas en sus miembros de Security Hub. El script envía invitaciones desde la cuenta maestra y las acepta de forma automática desde todas las cuentas de miembro. Para ejecutar el script, debe contar con las ID de cuenta de AWS y las direcciones de correo electrónico raíz de las cuentas de AWS que quiera convertir en miembros de su Security Hub. (Tenga en cuenta que solo debe compartir su dirección de correo electrónico raíz y su ID de cuenta con cuentas de AWS de su confianza. Visite la página Prácticas recomendadas de IAM para obtener más información sobre cómo mantener la seguridad en el acceso a sus cuentas de AWS).

De forma predeterminada, la asociación maestro/miembro de Security Hub es independiente de las relaciones que usted haya establecido entre sus cuentas de Amazon GuardDuty o Amazon Macie y otras cuentas asociadas. Si ya cuenta con una jerarquía maestro/miembro en GuardDuty o Macie, puede exportar esa lista de cuentas en un archivo CSV y usarlo con el script. En GuardDuty, por ejemplo, use la API ListMembers para exportar las ID de cuenta de AWS y los correos electrónicos de todas las cuentas de miembro de la siguiente forma:

aws guardduty list-members --detector-id <Detector ID> --query "Members[].[AccountId, Email]" --output text | awk '{print $1 "," $2}'

El resultado del comando anterior serán sus ID de cuenta de miembro de GuardDuty y sus direcciones de correo electrónico raíz correspondientes, una por línea y separadas por una coma tal como se muestra a continuación:

12345678910,abc@ejemplo.com
98765432101,xyz@ejemplo.com

2. Activar AWS Config en todas las cuentas y regiones de AWS y dejar activada la comprobación estándar de AWS CIS Foundations

Al activar Security Hub en cualquier región, las comprobaciones estándar de AWS CIS se activan de forma predeterminada. Le recomiendo que las deje activada; son medidas importantes de seguridad aplicables a todas las cuentas de AWS.

Para ejecutar la mayor parte de estas comprobaciones, Security Hub usa reglas vinculadas al servicio de AWS Config. Por esta razón, debe asegurarse de que AWS Config está activado y registrando todos los recursos compatibles, incluidos los recursos globales, en todas las cuentas y regiones donde Security Hub está implementado. AWS Config no le cobrará por estas reglas vinculadas al servicio. Solo se le cobrará a través del modelo de precios de Seucurity Hub.

3. Usar políticas de IAM administradas de forma específica para diferentes tipos de usuarios de Security Hub

Puede permitir el acceso a un grupo grande de usuarios a las acciones de Security Hub List (Enumerar) y Read (Leer), las cuales les permitirán ver sus hallazgos de seguridad. Sin embargo, debe limitar el acceso a la acción de Write (Escribir) de Security Hub a un grupo pequeño de usuarios. Esto permitirá exclusivamente a los usuarios autorizados la posibilidad de archivar, resolver o solucionar los hallazgos.

Puede utilizar políticas de AWS administradas para brindarle a sus empleados los permisos que necesitan para comenzar. Estas políticas ya están disponibles en su cuenta y AWS las mantiene y actualiza. Para garantizar un permiso más granular a sus usuarios de Security Hub, le recomiendo que cree sus propias políticas administradas de clientes. Un buen punto de partida para esto es importar una política administrada de AWS ya existente. De esa forma, tiene la certeza de que la política es inicialmente correcta, y todo lo que necesita hacer es personalizarla según su entorno.

AWS clasifica cada acción de servicio en cinco niveles de acceso basados en lo que hace cada acción: List (Enumerar), Read (Leer), Write (Escribi)r, Permissions management (Administración de permisos) o Tagging (Etiquetado). Para determinar que nivel de acceso incluir en las políticas de IAM que asigne a sus usuarios, puede ver el resumen de políticas diríjase a la Consola de IAM o a Policies (Políticas), y seleccione a continuación una política de AWS o de cliente administrada. A continuación, en la página Summary (Resumen), bajo la pestaña Permissions (Permisos), seleccione Policy summary (Resumen de política) (consulte la figura 1). Para obtener más información y ejemplos de clasificación de nivel de acceso, consulte Descripción de los resúmenes de nivel de acceso en los resúmenes de políticas.

Figura 1: Resumen de política de la política administrada de AWS AWSSecurityHubReadOnlyAccess

4. Utilizar etiquetas para los controles de acceso y asignación de costos

Un recurso SecurityHub::Hub representa la implementación del servicio AWS Security Hub por región en su cuenta de AWS. Security Hub le permite asignar metadatos a su recurso SecurityHub::Hub en forma de etiquetas. Cada etiqueta es una cadena compuesta por una clave definida por el usuario y una clave-valor opcional que hace más fácil que pueda identificar y administrar los recursos de AWS en su entorno.

Puede controlar los permisos de control de acceso mediante etiquetas en su recurso SecurityHub::Hub. Por ejemplo, puede permitir a un grupo de entidades de IAM de desarrollador administrar y actualizar únicamente los recursos de SecurityHub::Hub asociados con la clave de etiqueta desarrollador. Esto puede ayudarlo a restringir el acceso a sus recursos SecurityHub::Hub de producción, además de permitir a sus desarrolladores seguir con las pruebas en su entorno de desarrollo.

Para obtener más información sobre las condiciones basadas en etiquetas compatibles que puede usar con las API de Security Hub, consulte Claves de condición para AWS Security Hub. Tenga en cuenta que al usar condiciones basadas en etiquetas para el control de acceso debe definir quién puede modificar estas etiquetas.

Para facilitar la categorización y seguimiento de sus costos de AWS, también puede activar etiquetas de asignación de costos. Estas etiquetas pueden ayudarle a organizar sus costos de recurso de SecurityHub::Hub. AWS genera un reporte de asignación de costos en un archivo CSV, con el uso y los costos agrupados de acuerdo a sus etiquetas activas. Puede aplicar etiquetas que representen categorías empresariales (como centros de costo, nombres de aplicaciones o entornos de proyectos) para organizar sus costos.

Para obtener más información sobre categorías de etiquetado comunes y estrategias efectivas de etiquetado, consulte Estrategias de etiquetado de AWS.

5. Integrar y activar sus productos de seguridad ya existentes (con 34 integraciones a día de hoy y más en camino)

Hay un buen número de herramientas que pueden ayudarle a entender la situación de seguridad y conformidad de sus cuentas de AWS, pero estas herramientas generan su propio conjunto de hallazgos, en ocasiones en diferentes formatos. Security Hub normaliza los hallazgos.

Con Security Hub, los hallazgos generados en proveedores integrados (tanto servicios de terceros como de AWS) se procesan mediante un formato de hallazgos estándar, lo que elimina la necesidad de que los equipos de seguridad conviertan los datos. Actualmente, puede integrar 34 proveedores de hallazgos para importar o exportar hallazgos mediante Security Hub. Algunos productos de socios, como PagerDuty, Splunk y Slack, pueden recibir hallazgos de Security Hub, aunque no generen hallazgos.

Si quiere agregar un producto de un tercero a su entorno de AWS, seleccione el enlace Purchase (Comprar) desde la página Integrations (Integraciones) de la consola de Security Hub y navegue hasta AWS Marketplace. Una vez comprado, seleccione el enlace Configure (Configurar) para navegar hacia las instrucciones paso a paso, instalar el producto y configurar su integración con Security Hub. A continuación, seleccione Enable integration (Activar integración) para crear una suscripción de producto en su cuenta para ese proveedor externo (consulte la figura 2).

Una vez que active una suscripción, se le adjuntará de forma automática una política de recurso. La política de recurso define los permisos que Security Hub necesita aceptar y procesa los hallazgos del producto. También puede activar la suscripción a través de la API y CloudFormation.

Figura 2: Integración de los hallazgos del socio proveedor con Security Hub

6. Desarrollar guiones de solución personalizados mediante Amazon CloudWatch Events, documentos de AWS Systems Manager Automation y AWS Step Functions para resolver de forma automática hallazgos que no requieran intervención humana

De forma automática, Security Hub envía todos los hallazgos a Amazon CloudWatch Events. Esta integración le ayuda a automatizar su respuesta ante incidentes peligrosos al permitir tomar acciones específicas mediante documentos de AWS Systems Manager Automation, OpsItems y AWS Step Functions. Mediante estas herramientas, puede crear su propio plan de gestión de incidentes. Esto permitirá que su equipo de seguridad se centre en reforzar la seguridad de sus entornos de AWS en lugar de en solucionar los hallazgos que se produzcan.

Figura 3: Creación de una regla de eventos de CloudWatch para enviar hallazgos de Security Hub emparejados a objetivos específicos

7. Crear acciones personalizadas para enviar una copia de un hallazgo de Security Hub a un recurso interno o externo a su cuenta de AWS, lo que permite visibilidad adicional y opciones de solución del hallazgo

Debido a su integración con CloudWatch Events, puede usar Security Hub para crear acciones personalizadas que enviarán hallazgos específicos para sistemas de tickets, chat, correo electrónico o solución automatizada. También pueden enviarse acciones personalizadas a sus propios recursos de AWS, como AWS Systems Manager OpsCenter, AWS Lambda o Amazon Kinesis, lo que le permite solucionar o capturar datos del hallazgo.

Para echar un vistazo en profundidad de esta arquitectura y obtener ejemplos específicos sobre la implementación de acciones personalizadas, consulte Cómo integrar acciones personalizadas de AWS Security Hub con PagerDuty y Cómo activar acciones personalizadas en AWS Security Hub.

Además, Security Hub le brinda la opción de elegir un AWS SDK específico para un idioma, de modo que pueda usar acciones personalizadas para resolver hallazgos de forma programática. A continuación, le demostraré cómo puede implementar esto mediante AWS Lambda y AWS SDK for Python (Boto3). En mi ejemplo, solucionaré el hallazgo que ha generado Security Hub para la comprobación 2.4 del CIS, “Ensure CloudTrail trails are integrated with Amazon CloudWatch Logs” (Asegurar que los registros de seguimiento de CloudTrail estén integrados con Amazon CloudWatch Logs). Para esta guía, asumiré que cuenta con los permisos de AWS IAM necesarios para trabajar con Security Hub, CloudWatch Events, Lambda y AWS CloudTrail.

Figura 4: Flujo de datos apoyando la solución de hallazgos de Security Hub mediante acciones personalizadas

Tal como se muestra en la figura 4:

1. Cuando se generan hallazgos respecto a la comprobación 2.4 del CIS en Security Hub, este los envía a CloudWatch Events mediante las acciones personalizadas que describiré a continuación.
2. CloudWatch Events enviará los hallazgos a la función de Lambda que haya sido configurada como objetivo.
3. La función de Lambda utilizará un script de Python para comprobar si el hallazgo ha sido generado respecto a la comprobación 2.4 del CIS. En ese caso, la función de Lambda identificará el registro de seguimiento de CloudTrail afectado y lo configurará con CloudWatch Logs para monitorizar los registros del registro de seguimiento.

Requisitos previos

1. Debe configurar un rol de IAM que AWS CloudTrail asuma de forma que pueda entregar eventos a su grupo de registro de CloudWatch Logs. Para obtener más información al respecto, consulte la Documentación de AWS CloudTrail. Me referiré a este rol como el rol de CloudTrail.
2. Para implementar la función de Lambda, debe configurar un rol de IAM para que la asuma la función de Lambda. Me referiré a este rol como el rol de ejecución de Lambda.La siguiente política de ejemplo incluye los permisos que necesitará asignar para realizar este ejemplo. Sustituya<CloudTrail_CloudWatchLogs_Role> por el rol de CloudTrail que ha creado en el paso anterior. Según su caso de uso, puede restringir esta política de IAM para garantizar privilegios mínimos, lo cual es una práctica recomendada de IAM.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogGroups",
                "cloudtrail:UpdateTrail",
                "iam:GetRole"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::012345678910:role/<CloudTrail_CloudWatchLogs_Role>"
        }
    ]
}     

Implementación de la solución

1. Cree una acción personalizada en AWS Security Hub y asóciela con una regla de CloudWatch Events que configure para sus hallazgos de Security Hub. Consulte las instrucciones descritas en la guía de usuario de Security Hub para seguir los pasos exactos.
2. Cree una función de Lambda, que completará la solución automática de los hallazgos del CIS 2.4
   1. Abra la consola de Lambda y seleccione Create function (Crear función).
   2. En la página siguiente, seleccione Author from scratch (Autor desde cero).
   3. Bajo Basic information (Información básica), escriba un nombre para su función. En Runtime (Tiempo de ejecución), seleccione Python 3.7.
      

      Figura 5: Actualización de información básica para crear la función de Lambda

   4. Bajo Permissions (Permisos), expanda Choose or create an execution role (Elegir o crear un rol de ejecución).
   5. Bajo Execution role (Rol de ejecución), seleccione el menú desplegable y cambie el ajuste a Use an existing role (Usar un rol existente).
   6. Bajo Existing role (Rol existente), seleccione el Lambda execution role (Rol de ejecución de Lambda) que creó anteriormente y, a continuación, seleccione Create function (Crear función).
      

      Figura 6: Actualización de información básica y permisos para crear la función de Lambda

   7. Elimine el código de función predeterminado y copie y pegue el código que proporciono a continuación:

      import json, boto3
              cloudtrail_client = boto3.client('cloudtrail')
              cloudwatchlogs_client = boto3.client('logs')
              iam_client = boto3.client('iam')
              
              role_details = iam_client.get_role(RoleName='<CloudTrail_CloudWatchLogs_Role>')
              
              def lambda_handler(event, context):
                  # First off all, let us see if the JSON sent by CWE has any Security Hub findings.
                  if 'detail' in event.keys() and 'findings' in event['detail'].keys() and len(event['detail']['findings']) > 0:
                      print("There are some findings. Let's check them!")
                      print("Number of findings: %i" % len(event['detail']['findings']))
              
                      # Then we need to filter out the findings. In this code snippet, we'll handle only findings related to CloudTrail trails for integration with CloudWatch Logs.
                      for finding in event['detail']['findings']:
                          if 'Title' in finding.keys():
                              if 'Ensure CloudTrail trails are integrated with CloudWatch Logs' in finding['Title']:
                                  print("There's a CloudTrail-related finding. I can handle it!")
              
                                  if 'Compliance' in finding.keys() and 'Status' in finding['Compliance'].keys():
                                      print("Compliance Status: %s" % finding['Compliance']['Status'])
              
                                      # We can skip compliant findings, and evaluate only the non-compliant ones.                        
                                      if finding['Compliance']['Status'] == 'PASSED':
                                          continue
              
                                      # For each non-compliant finding, we need to get specific pieces of information so as to create the correct log group and update the CloudTrail trail.                        
                                      for resource in finding['Resources']:
                                          resource_id = resource['Id']
                                          cloudtrail_name = resource['Details']['Other']['name']
                                          loggroup_name = 'CloudTrail/' + cloudtrail_name
                                          print("ResourceId for the finding is %s" % resource_id)
                                          print("LogGroup name: %s" % loggroup_name)
              
                                          # At this point, we can create the log group using the name extracted from the finding.
                                          try:
                                              response_logs = cloudwatchlogs_client.create_log_group(logGroupName=loggroup_name)
                                          except Exception as e:
                                              print("Exception: %s" % str(e))
              
                                          # For updating the CloudTrail trail, we need to have the ARN of the log group. Let's retrieve it now.                            
                                          response_logsARN = cloudwatchlogs_client.describe_log_groups(logGroupNamePrefix = loggroup_name)
                                          print("LogGroup ARN: %s" % response_logsARN['logGroups'][0]['arn'])
                                          print("The role used by CloudTrail is: %s" % role_details['Role']['Arn'])
              
                                          # Finally, let's update the CloudTrail trail so that it sends logs to the new log group created.
                                          try:
                                              response_cloudtrail = cloudtrail_client.update_trail(
                                                  Name=cloudtrail_name,
                                                  CloudWatchLogsLogGroupArn = response_logsARN['logGroups'][0]['arn'],
                                                  CloudWatchLogsRoleArn = role_details['Role']['Arn']
                                              )
                                          except Exception as e:
                                              print("Exception: %s" % str(e))
                              else:
                                  print("Title: %s" % finding['Title'])
                                  print("This type of finding cannot be handled by this function. Skipping it…")
                          else:
                              print("This finding doesn't have a title and so cannot be handled by this function. Skipping it…")
                  else:
                      print("There are no findings to remediate.")  

   8. Después de copiar y pegar el código, sustituya <CloudTrail_CloudWatchLogs_Role> con su rol de CloudTrail y seleccione Save (Guardar) para guardar su función de Lambda.
      

      Figura 7: Edición de código de Lambda para sustituir el rol de CloudTrail correcto

3. Diríjase a su consola de CloudWatch y seleccione Rules (Reglas) en el panel de navegación situado a la izquierda
   1. Desde la lista de reglas de CloudWatch que se muestran, seleccione la regla que ha creado en Step 1 (Paso 1) de la implementación de esta solución.
   2. Después, seleccione Actions (Acciones) en la parte superior derecha de la página y elija Edit (Editar).
   3. En la página Step 1: Create rule (Paso 1: Crear regla), bajo Targets (Objetivos), elija Lambda function (Función de Lambda) y seleccione la función de Lambda que creó en Step 2 (Paso 2).
   4. Seleccione Configure details (Configurar detalles).
   5. En la página Step 2: Configure rule details (Paso 2: Configurar detalles de regla), seleccione Update rule (Actualizar regla).
      

      Figura 8: Añadir la función de Lambda creada como objetivo para la regla de CloudWatch

4. Ahora, la configuración se ha completado y puede probar su regla. Diríjase a su consola de seguridad de AWS Security Hub y seleccione Compliance standards (Estándares de conformidad) en el panel de navegación.
   1. A continuación, seleccione CIS AWS Foundations (Indicadores de referencia de CIS de AWS).
      

      Figura 9: Página de estándares de conformidad de la consola de Security Hub

   2. Busque la regla 2.4 Ensure CloudTrail trails are integrated with CloudWatch Logs (Asegurar que los registros de seguimiento de CloudTrail está integrados con CloudWatch Logs) y selecciónela.
      

      Figura 10: Ubicación de la comprobación 2.4 del CIS en la consola de Security Hub

   3. Si deja activadas las comprobaciones del CIS para AWS Security Hub predeterminadas (junto con el servicio de AWS Config en la misma región), y si tiene registros de seguimiento de CloudTrail en esa región que aún no han sido configurados para entregar eventos a CloudWatch Logs, debería ver un hallazgo de severidad bajo con un estado de conformidad Failed (Fallido).
   4. Seleccione el hallazgo fallido al marcar la casilla de verificación y seleccionar el botón Actions (Acciones).
   5. Por último, en el menú desplegable, seleccione la acción personalizada que creo en Step 1 (Paso 1) para enviar el hallazgo a CloudWatch Events. CloudWatch Events enviará el hallazgo a su función de Lambda, la cual configuró como objetivo para la regla en el tercer paso. La función de Lambda identificará de forma automática el registro de seguimiento de CloudTrail afectado y configurará el grupo de registro de CloudWatch Logs por usted. El grupo de registro tendrá el mismo nombre que su registro de seguimiento para propósitos identificativos. Puede modificar el código para que se ajuste a sus necesidades más adelante.

Nota:  Es posible que se produzca un retraso en el cambio del estado de conformidad del recurso corregido. Una vez que se active el estándar para AWS Foundations del CIS, Security Hub realizará las comprobaciones en un plazo de dos horas. Posteriormente, las comprobaciones se realizarán de forma automática cada 24 horas.

Figura 11: Hallazgos generados mediante la comprobación 2.4 del CIS en la consola de Security Hub

8. Personalizar los conocimientos al usar los “conocimientos administrados” predeterminados como plantillas y recurrir a ellos para priorizar recursos y hallazgos que requieran intervención

Un “conocimiento” de Security Hub es una colección de hallazgos relacionados a la que se ha aplicado uno o más filtros de Security Hub. Los conocimientos pueden ayudarle a organizar sus hallazgos e identificar riesgos de seguridad que necesitan atención inmediata.

Security Hub ofrece múltiples conocimientos (predeterminados) administrados. Puede utilizarlos como plantillas para nuevas conocimientos y modificarlos según el caso de uso. Puede guardar estas consultas modificadas como nuevos conocimientos personalizados para asegurar una visibilidad aún mayor de sus cuentas de AWS. Consulte la documentación para obtener instrucciones detalladas sobre cómo crear conocimientos personalizados.

Figura 12: Creación de un conocimiento personalizado de Security Hub

9. Utilizar la demostración gratuita para evaluar cuáles podrían ser sus costos

Security Hub le ofrece una demostración gratuita de 30 días para todas las cuentas y regiones de AWS. La demostración es una buena forma de evaluar el costo medio de Security Hub para monitorizar las amenazas y el cumplimiento en sus entornos. Puede ver un cálculo si navega desde la consola de Security Hub hasta Settings (Ajustes) y, a continuación, se dirige a Usage (Uso) (consulte la figura 13).

Figura 13: Cálculo de sus costos de Security Hub

Conclusión

AWS Security Hub le permite tener más visibilidad del estado de conformidad y seguridad de sus entornos de AWS. Al recurrir a las mejores prácticas de Security Hub que hemos presentado aquí, los equipos de seguridad pueden dedicar más tiempo a la solución de incidentes y a la recuperación que a la detección y organización de incidentes. Security Hub cuenta con certificaciones HIPAA, ISO, PCI y SOC. Para obtener más información sobre Security Hub, consulte la Documentación de AWS Security Hub.

Si desea realizar algún comentario sobre esta publicación, envíelo a través de la sección Comentarios que se encuentra a continuación. Si tiene alguna duda sobre esta publicación, abra un nuevo hilo en el foro de AWS Security Hub o contacte a AWS Support.

¿Desea ver más noticias de AWS Security? Síganos en Twitter.

Acerca del Autor

Ketan Srivastava es ingeniero de asistencia de la nube en AWS. Le encanta el hecho de que, en AWS, siempre hay muchas oportunidades de mejorar las cosas para nuestros clientes y aprender de esas oportunidades. En su tiempo libre, le gusta jugar a juegos de MOBA y viajar a sitios nuevos con su esposa. Cuenta con una maestría en ciencias del Instituto Rochester de Tecnología.