Security by Design

Información general

Automatización de la seguridad, la conformidad y la gobernanza en AWS

Security by Design (SbD) es un enfoque de garantía de la seguridad que formaliza el diseño de la cuenta de AWS, automatiza los controles de seguridad y simplifica las auditorías. En lugar de confiar en las auditorías de seguridad retroactivas, SbD proporciona controles de seguridad integrados en todo el proceso de administración de TI de AWS. Al usar las plantillas SbD en AWS CloudFormation, la seguridad y la conformidad en la nube se pueden hacer más eficientes y expansivas.

SbD es un enfoque de cuatro fases para garantizar la seguridad y conformidad a escala en numerosos sectores, estándares y criterios de seguridad. Puede utilizar AWS SbD para diseñar capacidades de seguridad y conformidad en todas las fases de seguridad al permitir al cliente diseñarlo todo dentro del entorno de AWS: los permisos, los registros, las relaciones de confianza, el cifrado obligatorio, las imágenes de máquina aprobadas obligatorias, y más. SbD le permite automatizar la estructura front-end de una cuenta de AWS e integrar la seguridad y la conformidad de forma fiable en sus cuentas de AWS, convirtiendo la falta de conformidad de los controles informáticos en algo del pasado.

Enfoque de Security by Design

SbD describe las responsabilidades de control, la automatización de las referencias de seguridad, la configuración de la seguridad y la auditoría del cliente de los controles para la infraestructura del cliente en AWS, y los sistemas operativos, servicios y aplicaciones ejecutados en AWS. Este diseño estandarizado, automatizado, prescriptivo y repetible se puede implementar para casos de uso comunes, estándares de seguridad y requisitos de auditoría en varios sectores y cargas de trabajo.

AWS recomienda integrar la seguridad y conformidad en su cuenta de AWS con un enfoque compuesto de cuatro fases:

Fase 1 – Entender sus requisitos. Desarrolle sus políticas y documente los controles de los que se beneficia con AWS. A continuación, documente los controles que posee y que funcionan en el entorno de AWS y decida qué reglas de seguridad desea que se cumplan en su entorno de TI en AWS.

Fase 2 – Crear un entorno seguro que se corresponde con sus requisitos e implementación. Defina la configuración que desea con los valores de configuración de AWS, como los requisitos de cifrado (por ejemplo, forzar el cifrado del lado del servidor para los objetos de S3), los permisos de acceso a recursos (qué funciones se aplican a determinados entornos), qué imágenes de máquina están permitidas (a partir de las imágenes protegidas de los servidores que ha autorizado) y qué tipo de registros deben activarse (como forzar el uso de CloudTrail en los recursos aplicables). AWS proporciona un conjunto de opciones de configuración de larga existencia con servicios nuevos que se lanzan con frecuencia y dispondrá de plantillas para que su entorno esté alineado con los controles de seguridad. Estas plantillas de seguridad (en formato de plantillas de AWS CloudFormation) proporcionan un conjunto de reglas exhaustivo que el que se pueden aplicar de forma sistemática. AWS ha desarrollado plantillas que proporcionan reglas de seguridad que cumplen con numerosos marcos de seguridad. Si desea obtener más información, consulte el documento técnico Introducción a Security by Design.

Podrá obtener más ayuda para crear su entorno seguro de mano de los arquitectos experimentados de AWS, los servicios profesionales de AWS y las soluciones de socios de AWS. Estos equipos pueden colaborar con sus empleados y equipos de auditoría para ayudar a implementar entornos altamente seguros para respaldar las auditorías de terceros.

Fase 3 – Uso obligatorio de plantillas. AWS Service Catalog le permite solicitar el uso de su plantilla en el catálogo. Este es el paso que garantiza el uso de su entorno seguro en todos los entornos nuevos que se crean, y evita que cualquiera cree un entorno que no cumpla con las reglas de seguridad de su entorno seguro. Al exigir el uso de su plantilla en el catálogo, se garantiza que las configuraciones de seguridad restantes de los controles estén preparadas para la auditoría.

Fase 4 – Realizar actividades de validación. La implementación de AWS mediante Service Catalog y las plantillas de entorno seguro ayuda a crear un entorno listo para auditorías. Las reglas que define en la plantilla pueden utilizarse como guía para la auditoría. AWS Config le permite conocer el estado de cualquier entorno y compararlo con las reglas de su entorno seguro. Mediante el uso de permisos de acceso de lectura segura, junto con scripts únicos, puede habilitar la automatización de auditoría para la recopilación de pruebas. Puede convertir los controles administrativos manuales tradicionales en controles que se pueden hacer cumplir técnicamente con la garantía de que, si están diseñados y tienen un alcance adecuado, funcionen al 100 % en cualquier momento, lo que no es posible con los métodos tradicionales de muestreo de auditoría o revisiones de punto en el tiempo.

Esta auditoría técnica se pude mejorar mediante la orientación previa a la auditoría, como el soporte y la formación técnica para los auditores, a fin de garantizar que estos entiendan las capacidades únicas de automatización de la auditoría que ofrece la nube de AWS.

Repercusiones de Security by Design

El enfoque SbD se puede lograr:

  • Creación de funciones obligatorias que los usuarios sin permiso para modificarlas no pueden invalidar.
  • Establecimiento de un funcionamiento fiable de los controles.
  • Facilitación de auditorías continuas en tiempo real.
  • Scripts técnicos para la política de gobernanza.

El resultado es un entorno automatizado que posibilita las capacidades de seguridad, aseguramiento, gobernanza y conformidad de su entorno. Puede implementar de forma fiable lo que antes estaba escrito solo en políticas, estándares y reglamentos. Además, puede crear reglas obligatorias de seguridad y conformidad, que a su vez dan lugar a un modelo de gobernanza fiable y funcional para los entornos de AWS.

Recursos de Security By Design

¿Tiene preguntas? Pónganse en contacto con un representante empresarial de AWS
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »