Me gustaría recibir información sobre Security by Design
Security By Design

Security by Design (SbD) es un enfoque de garantía de la seguridad que formaliza el diseño de la cuenta de AWS, automatiza los controles de seguridad y simplifica las auditorías. En lugar de confiar en las auditorías de seguridad retroactivas, SbD proporciona controles de seguridad integrados en todo el proceso de administración de TI de AWS. Al utilizar las plantillas de Security by Design de CloudFormation, se puede mejorar la eficacia y el alcance de la seguridad y conformidad en la nube.

SbD se compone de un enfoque de cuatro fases para garantizar la seguridad y conformidad a escala en numerosos sectores, estándares y criterios de seguridad. AWS SbD se puede utilizar para diseñar capacidades de seguridad y conformidad en todas las fases de seguridad al permitir al cliente diseñarlo todo dentro del entorno de AWS: los permisos, los registros, las relaciones de confianza, el cifrado obligatorio, las imágenes de máquina aprobadas obligatorias, y más. SbD permite a los clientes automatizar la estructura front-end de una cuenta de AWS e integrar la seguridad y conformidad de forma fiable en las cuentas de AWS, convirtiendo la falta de conformidad de los controles informáticos en algo del pasado.


SbD describe las responsabilidades de control, la automatización de las referencias de seguridad, la configuración de la seguridad y la auditoría del cliente de los controles para la infraestructura del cliente en AWS, y los sistemas operativos, servicios y aplicaciones ejecutados en AWS. Este diseño estandarizado, automatizado, prescriptivo y repetible se puede implementar para casos de uso comunes, estándares de seguridad y requisitos de auditoría en varios sectores y cargas de trabajo.

AWS recomienda integrar la seguridad y conformidad en su cuenta de AWS con un enfoque compuesto de cuatro fases:

Fase 1 – Entender sus requisitos. Desarrolle sus políticas y documente los controles de los que se beneficia con AWS. A continuación, documente los controles que posee y que opera en el entorno de AWS y decida qué reglas de seguridad desea que se cumplan en su entorno de TI en AWS.

Fase 2 – Crear un “entorno seguro” que se corresponde con sus requisitos e implementación. Defina la configuración que desea con los valores de configuración de AWS, como los requisitos de cifrado (forzar el cifrado del lado del servidor para los objetos de S3), los permisos de acceso a recursos (qué funciones se aplican a determinados entornos), qué imágenes de máquina están permitidas (a partir de las imágenes protegidas de los servidores que ha autorizado) y qué tipo de registros han de activarse (como forzar el uso de CloudTrail en los recursos aplicables). Como AWS proporciona un conjunto de opciones de configuración de larga existencia (y se publican servicios nuevos con frecuencia), dispondrá de plantillas para que su entorno se corresponda con los controles de seguridad. Estas plantillas de seguridad (en formato de plantillas de AWS CloudFormation) proporcionan un conjunto de reglas más exhaustivo que el que se podría aplicar de forma sistemática. AWS ha desarrollado plantillas que proporcionan reglas de seguridad que cumplen con numerosos marcos de seguridad. Para más información, consulte el documento técnico "Introduction to Security by Design".

Podrá obtener más ayuda para crear este “entorno seguro” de mano de los arquitectos experimentados de AWS, los servicios profesionales de AWS y los socios líderes de transformación de IT. Estos equipos pueden colaborar con sus empleados y equipos de auditoría para concentrarse en diseñar e implementar entornos seguros de calidad para clientes que respalden las auditorías de terceros.

Fase 3 – Uso obligatorio de plantillas. Active Service Catalog y establezca el uso obligatorio de su plantilla en el catálogo. En este paso, se establece el uso obligatorio del “entorno seguro” en entornos nuevos que se están creando y evita que nadie cree un entorno que no siga las reglas de seguridad de su “entorno seguro”. De este modo, se instrumentan las configuraciones de seguridad de controles restantes de la cuenta del cliente para prepararse para una auditoría.

Fase 4 – Realizar actividades de validación. La implementación de AWS mediante Service Catalog y las plantillas del “entorno seguro” ayuda a crear un entorno listo para auditorías. Las reglas definidas en la plantilla pueden utilizarse como guía para la auditoría. AWS Config le permite conocer el estado de cualquier entorno y compararlo con las reglas de su “entorno seguro”. Esto proporciona capacidades de recopilación de pruebas para una auditoría mediante los permisos de “acceso de lectura” seguros, además de scripts únicos, que facilitan la automatización de la auditoría para la recopilación de pruebas. Los clientes podrán convertir los controles administrativos tradicionales y manuales en controles técnicos con la garantía de que, si se diseñan y se establece su alcance de forma adecuada, funcionarán al 100 % de su capacidad en cualquier momento, a diferencia de los métodos de muestreo para auditorías tradicionales o las inspecciones en un momento determinado.

Esta auditoría técnica se pude mejorar mediante la orientación previa a la auditoría, como el soporte y la formación para los auditores del cliente, a fin de garantizar que estos entienden las capacidades únicas de automatización de la auditoría que ofrece la nube de AWS.

Seguridad de AWS
Security by Design en la nube de AWS

Repercusiones de SbD en AWS

Los objetivos del enfoque SbD son los siguientes:

• Creación de funciones obligatorias que los usuarios sin permiso para modificarlas no pueden invalidar.
• Establecimiento de un funcionamiento fiable de los controles.
• Facilitación de auditorías continuas en tiempo real.
• Scripts técnicos para la política de gobernanza.

El resultado es un entorno automatizado que posibilita las capacidades de garantía de la seguridad, gobernanza, seguridad y conformidad en su entorno. Los clientes pueden implementar de forma fiable lo que antes estaba escrito en políticas, estándares y reglamentos. Además, los clientes pueden crear reglas obligatorias de seguridad y conformidad, que a su vez dan lugar a un modelo de gobernanza fiable y funcional para los entornos del cliente en AWS.


Documentos técnicos

Familiarícese con los conceptos en el documento técnico sobre Security by Design.

Realice el curso autoguiado "Auditing your AWS Architecture". En él se presentan las características e interfaces de AWS, sobre todo en lo referente a las opciones de configuración disponibles a los auditores y propietarios de los controles de seguridad.

Familiarícese con otros recursos pertinentes disponibles:
a. Amazon Web Services: Información general acerca de los procesos de seguridad
b. Documento técnico Introduction to Auditing the Use of AWS
c. Federal Financial Institutions Examination Council (FFIEC) – Audit Guide
d. SEC – Cybersecurity Initiative Audit Guide
e. CJIS Security Policy Audit Guide

 

Recursos de Security By Design

 

Contacte con nosotros