Aspectos básicos de la seguridad

Los asuntos relacionados con la seguridad y la conformidad son una responsabilidad compartida entre AWS y el cliente. Al seguir este modelo compartido, los clientes pueden reducir la carga operativa, ya que AWS asume la responsabilidad de operar, administrar y controlar los componentes “de la nube”. Esto permite a los clientes centrarse en crear sus aplicaciones e implementar sus servicios, al tiempo que asumen la responsabilidad de proteger esos servicios “en la nube”. Infórmese sobre el Modelo de responsabilidad compartida.

Cuando crea una cuenta de AWS, comienza con lo que se conoce como usuario raíz. Este es el primer usuario de AWS que existe en su cuenta de AWS. AWS recomienda que no utilice esta cuenta para las operaciones diarias, ya que tiene acceso y control totales de la cuenta, y debe seguir las prácticas recomendadas para proteger al usuario raíz. Esto implica bloquear las claves de acceso del usuario raíz, usar una contraseña segura, habilitar la autenticación multifactor de AWS y crear un usuario de IAM para acceder a su cuenta. A esta cuenta se le pueden asignar privilegios de administrador y se debe usar para todas las tareas administrativas futuras.

A continuación, debe asignar contactos de seguridad alternativos a su cuenta. El contacto de seguridad alternativo recibirá notificaciones relacionadas con la seguridad, incluidas las del Equipo de confianza y seguridad de AWS. Puede obtener más información sobre la importancia de configurar esta información de contacto al principio de la configuración de su cuenta en la entrada del blog Actualice el contacto de seguridad alternativo en sus cuentas de AWS para recibir notificaciones de seguridad oportunas.

Una vez que haya confirmado sus contactos de seguridad, debería considerar las regiones de AWS en las que deberían ejecutarse sus cargas de trabajo y las regiones en las que no deberían ejecutarse. A continuación, puede bloquear las regiones no utilizadas para garantizar que no se puedan ejecutar cargas de trabajo desde esas regiones. Si bien esto ayuda a la optimización de los costos, también contribuye a la seguridad. ¿Cómo es posible? Al bloquear las regiones en las que no espera ejecutar cargas de trabajo, puede centrar sus esfuerzos de supervisión en las regiones que utiliza activamente.

En este punto, protegió al usuario raíz, creó uno o más usuarios de IAM, asignó contactos de seguridad y bloqueó las regiones en las que se pueden ejecutar las cargas de trabajo. A continuación, consideremos cómo interactuarán los usuarios con los recursos de AWS. Hay dos métodos principales de interacción: la CLI de AWS y la Consola de administración de AWS. Se recomienda configurar el inicio de sesión único para la CLI de AWS y la consola. Consulte el artículo Configuración de la CLI de AWS para usar AWS IAM Identity Center (sucesor de AWS Single Sign-On) para obtener información detallada sobre cómo administrar el acceso de forma centralizada con AWS IAM Identity Center.

El siguiente paso para proteger su cuenta es configurar grupos de usuarios de AWS IAM para controlar el acceso. En lugar de controlar el acceso de los usuarios individuales estableciendo políticas directamente sobre el usuario, es mejor crear un grupo, asignarle los permisos necesarios y, a continuación, asignar los usuarios al grupo. Los usuarios heredarán los permisos de ese grupo. Esto ofrece una forma más escalable de proporcionar control de acceso a muchos usuarios. Es importante entender la IAM y los grupos de IAM porque abarcan varios servicios. IAM es un servicio que interactúa hasta cierto punto con todos los servicios de AWS, así que asegúrese de dedicar tiempo a familiarizarse con IAM.

Seguir estas prácticas desde el principio lo ayudará a proporcionar un acceso seguro a sus recursos de AWS. A continuación, analizaremos cómo proteger la infraestructura que crea en AWS.

La infraestructura que se crea a menudo se pasa por alto, ya que forma parte de la arquitectura subyacente y no es algo que esté orientado al cliente. Sin embargo, si la infraestructura falla, los servicios que proporciona a sus clientes fallan. Por esta razón, es imperativo que la infraestructura esté protegida desde el primer día.

A medida que desarrolla su infraestructura de nube, empezará por crear una Amazon Virtual Private Cloud (Amazon VPC). Se trata de una red virtual que usted define (se crea una red predeterminada en cada región al crear su cuenta) que le permite lanzar recursos. Una VPC se parece a una red tradicional, ya que tiene asignado un rango de direcciones IP CIDR y se subdivide mediante la creación de subredes. Las subredes se pueden usar para proporcionar aislamiento a diferentes conjuntos de recursos. Las subredes pueden ser públicas o privadas. Las subredes públicas tienen una ruta a una puerta de enlace de Internet, tienen acceso a Internet a través de esta puerta de enlace y se puede acceder a ellas desde Internet si los controles de acceso pertinentes lo permiten. Las subredes privadas también tienen una tabla de enrutamiento, pero no tienen una ruta a una puerta de enlace de Internet, por lo que, de forma predeterminada, no pueden acceder a Internet ni se puede acceder a ellas desde Internet. Para permitir que los recursos de una subred privada accedan a Internet, se necesita una puerta de enlace NAT. En el nivel de subred, una lista de control de acceso (ACL) a la red permite o rechaza tráfico entrante o saliente específico. Puede usar la ACL de red predeterminada para su VPC o puede crear una ACL de red personalizada para su VPC. Las ACL de red son listas numeradas, se procesan de arriba a abajo y no tienen estado. Esto significa que necesitará una regla de ACL de red entrante y saliente para permitir el tráfico bidireccional.

A medida que implemente los recursos de EC2 en su VPC, asociará un grupo de seguridad a ellos. Un grupo de seguridad controla el tráfico entrante y saliente que puede llegar a los recursos de EC2. Los grupos de seguridad son similares a un firewall, pero en lugar de usar solo una lista o un rango de direcciones IP, pueden apuntar a algo denominado referencia de recursos. Una referencia de recursos es un grupo con nombre que mantiene una lista actualizada de las direcciones IP asignadas a cada recurso del grupo. Por ejemplo, si crea un grupo de escalado automático para activar las instancias de Amazon EC2, a cada instancia se le asigna una nueva IP cuando se inicia. Al añadir un grupo de seguridad a estas instancias, puede conceder acceso al grupo de seguridad del servidor de base de datos mediante el ID del grupo de seguridad de las instancias de EC2, y cualquier instancia de EC2 nueva que se lance tendrá acceso a la base de datos sin necesidad de añadir su dirección IP a la lista de permitidos.

Las reglas de los grupos de seguridad son similares a las ACL de red porque, al crearlas, coinciden en el puerto, el protocolo y las direcciones, pero tienen estado; puede pensar que son similares a un firewall con estado. Al crear una entrada para permitir un tipo específico de tráfico, no es necesario crear una regla que coincida con el tráfico de retorno; si tiene estado, se permitirá el tráfico de retorno. Para entender mejor cómo interactúan los grupos de seguridad y las ACL, esta comparación es útil.

Para añadir una capa adicional de seguridad a la infraestructura, puede implementar el AWS Network Firewall. El Network Firewall es un servicio gestionado que implementa la protección de su Amazon VPC. Ofrece una protección más detallada que los grupos de seguridad, ya que puede incorporar el contexto de los flujos de tráfico, como el seguimiento de conexiones y la identificación de protocolos, para aplicar políticas como la de impedir que sus VPC accedan a dominios utilizando un protocolo no autorizado. Esto se hace mediante la configuración de reglas de Suricata personalizadas. Por ejemplo, puede configurar el Network Firewall para protegerse contra los ataques de malware. Si va un paso más allá, puede implementar otro servicio gestionado, AWS Shield Avanzado, para protegerse contra las amenazas de DDoS.

Los clientes almacenan una gran cantidad de datos en la nube de AWS. Estos datos contienen información que es fundamental para el funcionamiento de una organización. Incluyen datos de clientes, propiedad intelectual, pedidos vinculados directamente a los ingresos y más. En esta sección, compartimos información básica sobre cómo configurar los datos que se almacenan en AWS, así como los datos que se transfieren a través de la red hacia y desde AWS.

En AWS, los datos se almacenan en Amazon S3, que tiene varios controles para proteger los datos. En el artículo Las 10 mejores prácticas de seguridad para proteger los datos en Amazon S3 se describen las técnicas más fundamentales. Estas incluyen el bloqueo de los buckets de S3 públicos a nivel de la organización, el uso de políticas de buckets para verificar que todos los accesos otorgados estén restringidos y sean específicos, y el cifrado y la protección de los datos.

Para el cifrado, AWS Key Management Service (AWS KMS) le permite crear y controlar las claves que se utilizan para cifrar o firmar sus datos de forma digital. Si desea cifrar sus datos en AWS, tiene varias opciones. La primera consiste en utilizar un cifrado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3). Con este método, el cifrado se produce después de que los datos se envíen a AWS mediante claves administradas por AWS.

La segunda opción es cifrar los datos una vez que estén en AWS, pero en lugar de utilizar claves creadas y administradas por AWS, puede realizar el cifrado del lado del servidor con claves maestras de cliente (CMK) que se almacenan en AWS KMS (SSE-KMS).

La tercera opción para almacenar datos cifrados en AWS es utilizar el cifrado del cliente. Con este enfoque, los datos se cifran antes de transferirlos a AWS.

En la siguiente imagen se puede ver un ejemplo de cómo el cifrado del cliente y el cifrado del servidor benefician a los clientes.

Las VPN pueden abarcar varias tecnologías. La idea detrás de una VPN es que sus datos en tránsito mantengan su integridad y puedan intercambiarse de forma segura entre dos partes. AWS ofrece varias tecnologías que ayudan a proteger los datos en tránsito. Una de ellas es AWS PrivateLink, que proporciona conectividad privada y cifrada entre las VPC, los servicios de AWS y sus redes locales. Esto se hace sin exponer su tráfico a la Internet pública. Esto también podría considerarse una red privada virtual.

Sin embargo, en la mayoría de los casos, una discusión sobre la VPN gira en torno al uso del cifrado de datos. En función de las circunstancias, es posible que deba proporcionar un cifrado entre un cliente y sus recursos en la nube de AWS. Esta situación requeriría AWS Client VPN. Por otro lado, es posible que esté transfiriendo datos entre su centro de datos o sucursal y sus recursos de AWS. Puede lograrlo mediante túneles IPsec entre sus recursos locales y sus Amazon VPC o AWS Transit Gateway. Esta conectividad segura se conoce como VPN de sitio a sitio.

Por último, la gestión de los recursos de la nube mediante la Consola de administración de AWS también ofrece datos cifrados en tránsito. Si bien normalmente no se referiría a la conectividad con la consola como una VPN, su sesión utiliza el cifrado TLS (Transport Layer Security). Por lo tanto, sus configuraciones se mantienen confidenciales a medida que crea su arquitectura segura. TLS también se usa con la API de AWS.

AWS ofrece varios servicios gestionados para ayudar a monitorear su entorno, junto con opciones de autoservicio. Por ejemplo, puede usar los registros de flujo de VPC para registrar y ver los flujos de tráfico de la red, o puede usar Amazon CloudWatch para analizar los registros de AWS WAF o incluso para crear alarmas para las instancias de EC2. Puede obtener más información sobre Amazon CloudWatch en este taller.

Además, AWS CloudTrail monitoriza y registra la actividad de la cuenta en toda la infraestructura de AWS, lo que le permite controlar las acciones de almacenamiento, análisis y reparación. Esto es esencial para crear un registro de auditoría administrativa, identificar los incidentes de seguridad y solucionar problemas operativos.

Por último, Amazon GuardDuty se puede utilizar para la detección de amenazas e incluso para ir un paso más allá al hacer que los resultados publicados inicien acciones de corrección automática en su entorno de AWS.

Al abordar cada una de estas áreas operativas, estará bien encaminado para establecer las funciones de seguridad esenciales para su entorno de nube.