Dropbox incorpora los servicios de seguridad de AWS para escalar la protección de su servicio de firmas

Dropbox, una empresa de almacenamiento de archivos y espacios de trabajo inteligentes basada en la nube, adquirió en 2019 la solución de firma electrónica y almacenamiento HelloSign. HelloSign creció rápidamente hasta superar los 80 000 clientes en 2021 y reconoció la importancia de proteger la información de identificación personal (PII) y los datos de las tarjetas de pago de sus clientes. La empresa quería que su servicio fuera seguro y de alta disponibilidad, lo que requería proteger sus servicios contra la denegación de servicio distribuido (DDoS) y otros eventos de seguridad.

La empresa, que ya utilizaba Amazon Web Services (AWS) para muchas de sus necesidades de infraestructura, decidió ampliar su uso de AWS para mejorar su posición de seguridad. En tan solo seis meses, HelloSign mejoró su seguridad mediante el uso de un conjunto de herramientas de seguridad escalables y personalizadas de AWS, implementando prácticas recomendadas, ahorrando tiempo a los desarrolladores, mejorando el tiempo de respuesta de la seguridad y evitando eventos de seguridad.

Dropbox es un espacio de trabajo inteligente que ofrece funciones de sincronización y uso compartido de archivos para optimizar los flujos de trabajo. Con la adquisición de HelloSign, Dropbox ofreció a sus clientes la posibilidad de enviar, firmar y almacenar documentos en línea sin salir de Dropbox. HelloSign decidió mejorar su posición de seguridad, incluida la obtención de visibilidad de la seguridad de su aplicación web y la identificación proactiva de los datos PII almacenados para poder así identificar dónde establecer controles adicionales.

HelloSign buscaba una opción escalable y sólida que no requiriera que los datos se transfirieran a una solución de terceros, lo que podría dar a empresas externas acceso a la información de identificación personal y, por tanto, requerir un proceso de revisión de la seguridad que llevaría mucho tiempo. HelloSign ya confiaba en AWS para su infraestructura, almacenando datos cifrados mediante Amazon Simple Storage Service (Amazon S3), un sistema de almacenamiento de objetos creado para recuperar cualquier cantidad de datos desde cualquier lugar. En lugar de adoptar servicios de seguridad de forma gradual, HelloSign implementó rápidamente un conjunto de servicios de seguridad de AWS en su flujo de trabajo interno.

En la primera capa de la solución de seguridad de HelloSign se encuentra Amazon Macie, un servicio de seguridad y privacidad de datos completamente administrado que utiliza el machine learning y la coincidencia de patrones para descubrir y proteger los datos confidenciales en los buckets de Amazon S3. Amazon Macie funciona a escala y sin transferir datos a terceros. Para la gestión de vulnerabilidades, HelloSign utiliza Amazon Inspector, que ayuda a mejorar la seguridad y la conformidad de las aplicaciones desplegadas en AWS, evaluándolas en busca de vulnerabilidades y comprobando la accesibilidad no intencionada a la red. «Utilizamos los resultados de Amazon Inspector como parte de nuestro proceso de automatización de la administración de parches, lo que nos ahorra mucho tiempo y recursos a la hora de actualizar nuestro software y sistemas», afirma Kirtika Dommeti, Senior Security Engineer en HelloSign. Para aumentar la visibilidad de la seguridad, HelloSign utiliza Amazon GuardDuty, un servicio de detección de amenazas que monitoriza de manera continua en busca de actividades maliciosas y comportamientos no autorizados con el fin de proteger los datos, las cargas de trabajo y las cuentas de AWS almacenados en Amazon S3. Para comprender mejor la causa raíz de los resultados de seguridad de Amazon GuardDuty, la compañía está evaluando Amazon Detective, que utiliza el machine learning, el análisis estadístico y la teoría de grafos para construir un conjunto vinculado de datos que permita a los usuarios realizar fácilmente investigaciones de seguridad más rápidas y eficientes.

Para supervisar e informar sobre la posición de seguridad de HelloSign en AWS, la compañía utiliza AWS Security Hub, que agrega todos los resultados de seguridad y realiza comprobaciones de prácticas recomendadas de seguridad en todo el despliegue de AWS. Esta visión global de las alertas de seguridad y de la posición de seguridad contribuye al cumplimiento de la normativa. Por ejemplo, HelloSign utiliza la capacidad de Amazon Macie para ayudar a detectar PII e información de tarjetas de pago junto con las exhaustivas comprobaciones de la posición de seguridad de AWS Security Hub para cumplir con los puntos de referencia del Centro de seguridad en Internet y la norma de seguridad de datos de la industria de tarjetas de pago.

HelloSign administra los resultados mediante una lógica de procesamiento propia junto con servicios como AWS Lambda, un servicio de computación sin servidor que permite a los usuarios ejecutar código sin aprovisionar ni administrar servidores, y Amazon DynamoDB, una base de datos de valores clave y documentos que ofrece un rendimiento de milisegundos de un solo dígito a cualquier escala. A continuación, los equipos internos de HelloSign abordan cualquier problema a través del flujo de trabajo de incidencias de asistencia y de otro tipo de la empresa.

La compañía combate los eventos de seguridad de las aplicaciones web con AWS Web Application Firewall (AWS WAF), que ayuda a proteger las aplicaciones web o las API frente a web exploits y bots habituales que pueden afectar la disponibilidad, poner en riesgo la seguridad o consumir demasiados recursos. Gracias a AWS WAF, HelloSign puede filtrar el tráfico antes de que llegue a los servidores web de la empresa, mitigando incidentes en tan solo 15-30 minutos, personalizando reglas que bloquean de forma proactiva patrones de eventos de seguridad comunes y aplicando bloqueos geográficos o específicos por país a zonas bajo sanciones estadounidenses. El uso de AWS WAF ha ayudado a HelloSign a evitar 12 eventos de seguridad DDoS y otras amenazas a la seguridad que, de otro modo, podrían haber hecho caer su sistema. HelloSign también utiliza AWS Shield Avanzado, un servicio de protección administrado contra DDoS que ayuda a salvaguardar las aplicaciones que se ejecutan en AWS. Para los recursos protegidos con AWS Shield Avanzado, los clientes cuentan con AWS WAF y AWS Firewall Manager, un servicio de administración de seguridad, sin coste adicional. «Ahora podemos tomar decisiones inteligentes y ganar visibilidad respecto al tipo de clientes y su origen», afirma Dommeti.

HelloSign actualizó su proceso de autenticación mediante AWS Single Sign-On (AWS SSO), que simplifica la administración centralizada del acceso a varias cuentas de AWS y aplicaciones empresariales y proporciona a los usuarios acceso de inicio de sesión único a todas sus cuentas y aplicaciones asignadas desde un solo lugar. La automatización de las funciones de seguridad en 3 meses ha agilizado el flujo de trabajo y reducido las tareas que consumen mucho tiempo. En total, estos cambios han aumentado la eficiencia, ahorrando a HelloSign unas 120 horas de trabajo a la semana. «Como los servicios son intuitivos, pudimos ponerlos en marcha y formar al nuevo personal para que los gestionara con facilidad», afirma Dommeti.

La facilidad de uso y la integración de los servicios de seguridad de AWS han ayudado a HelloSign a alcanzar un nivel de seguridad superior al estándar del sector. «Gracias a AWS, pudimos perfeccionar nuestro modelo de seguridad y automatizar los procesos manuales», afirma Mark Dorsi, Director de Security en HelloSign. «Ahorramos alrededor de un millón de USD al año en tiempo de evaluación de prioridades para las operaciones de seguridad, de personal y de costes de licencias».