Southwest Airlines invierte en su posición de seguridad con AWS Security Hub

Southwest Airlines (Southwest) quería invertir en su postura de seguridad para proteger el gran número de aplicaciones integradas que mantienen la seguridad y la fluidez de la aerolínea. Con los elementos nativos en la nube que recopilan información sobre seguridad, la aerolínea se enfocó en la creación de aplicaciones innovadoras en lugar de la administración de la infraestructura. “Queríamos ofrecer a nuestros equipos información valiosa sobre la seguridad para que cuenten con una mejor preparación para investigar y recuperarse de los eventos de seguridad y para realizar análisis retrospectivos después de los hechos”, asegura Will Walsh, administrador sénior en seguridad en la nube de Southwest.

En su proceso de migración continua a Amazon Web Services (AWS), Southwest adoptó AWS Security Hub, un servicio de administración de la postura de seguridad en la nube. Este servicio es el componente clave de una integración más amplia, automatizada y escalable, la cual ofrece a los usuarios una visión completa de las alertas de seguridad y la postura de seguridad en todas las cuentas de AWS. Con AWS Security Hub, los equipos de seguridad de Southwest logran una mayor visibilidad de las operaciones de seguridad de la aerolínea y pueden administrar con facilidad tanto las aplicaciones nativas en la nube como las de terceros.

Southwest, cuya sede se encuentra en Texas, es una de las aerolíneas de bajo costo más grandes del mundo. Cuenta con alrededor de 54 000 empleados que transportan a 130 millones de pasajeros por año a 101 destinos en 11 países. Cuando comenzó a usar los servicios de AWS en 2010, se convirtió en una de los primeros clientes empresariales de AWS. Antes, la aerolínea utilizaba tecnología interna en sus centros de datos para administrar los horarios de los vuelos, pronosticar la demanda, programar el mantenimiento, lograr precios dinámicos para las ventas móviles y web y responder ante eventos irregulares, como las condiciones meteorológicas que provocan retrasos. Southwest quería mejorar la flexibilidad y acelerar la entrega de valor, por lo que en 2017 comenzó a migrar sus operaciones a AWS. Al principio, Southwest operaba en la nube sin dejar de utilizar el mismo modelo operativo de seguridad que había desarrollado para sus centros de datos. Sin embargo, pronto se dio cuenta de que podía maximizar sus capacidades con un enfoque nativo en la nube. La transición a un modelo de responsabilidad compartida, en el que AWS administra la infraestructura en nombre de Southwest, permite a los equipos de seguridad de la aerolínea enfocarse en sus prioridades, como la detección, la prevención y la respuesta ante los eventos de seguridad.

Southwest eligió AWS por el buen nivel disponibilidad, la resiliencia y la variedad de herramientas que el equipo de desarrollo podía usar para desarrollar las capacidades de seguridad. “La migración a AWS supuso un paso importante para mejorar la velocidad de entrega de nuestras aplicaciones de seguridad”, afirma Jon Barcellona, director de Ingeniería de ciberseguridad de Southwest. “Las herramientas de AWS simplifican la integración, la administración y la segmentación de nuestras aplicaciones de forma natural”.

Southwest creó una solución de seguridad que usa AWS Security Hub para administrar y recopilar los datos de varios servicios de seguridad de AWS, como así también de productos de terceros. Para administrar los diversos servicios de AWS, Southwest también usa reglas personalizadas en AWS Config, un servicio para registrar y evaluar las configuraciones de los recursos de AWS. Entre los servicios que se incorporan a AWS Security Hub, se encuentra Amazon GuardDuty, un servicio de detección de amenazas que monitoriza de manera continua la actividad maliciosa y el comportamiento no autorizado. Southwest también utiliza Amazon Inspector, el cual evalúa de manera automática las aplicaciones en busca de exposiciones, vulnerabilidades y desviaciones en relación con las prácticas recomendadas. Para iniciar las investigaciones, la aerolínea utiliza Amazon Detective, el cual facilita el análisis, la investigación y la identificación rápida de las principales causas de los posibles problemas de seguridad.

La solución de Southwest utiliza AWS Security Hub para recopilar los eventos que detecten Amazon GuardDuty, AWS Config y Amazon Inspector. A partir de allí, la información del evento se acumula a nivel regional y se envía a los registros de Amazon CloudWatch, un servicio de monitorización y observabilidad. Por último, Southwest usa un adaptador para que los registros de Amazon CloudWatch envíen la información de los eventos a la solución de administración de eventos e información de seguridad empresarial de terceros. Esta solución acumula los datos de varias fuentes y realiza una correlación de eventos con contenido enriquecido para detectar los eventos de seguridad procesables. El centro de operaciones de seguridad monitoriza de manera constante los eventos y los analiza, contiene y elimina según corresponda.

Con AWS Security Hub, varios equipos de Southwest, como el centro de operaciones de seguridad, el equipo de inteligencia de amenazas, el personal de respuesta a incidentes y los equipos de aplicaciones, logran una alta visibilidad de la postura de seguridad de Southwest. La solución logró una reducción en el tiempo y la mano de obra que se necesita para implementar más de 350 controles de seguridad automatizados. También logró que Southwest alcance un alto grado de cumplimiento de los objetivos de control de seguridad asociados, los cuales constituyen su postura de seguridad. A nivel mundial, Southwest analiza más de 600 000 recursos de cientos de cuentas de AWS todos los meses; el 98 % de los recursos supera las comprobaciones de seguridad. AWS Security Hub facilita la solución del 2 % de los recursos restante. “Gracias a AWS Security Hub, ahora contamos con las capacidades de seguridad más sólidas que necesitamos”, afirma Barcellona.

Para crear bibliotecas que reduzcan el tiempo de desarrollo de los futuros controles de seguridad automatizados, Southwest usa el Formato de resultados de seguridad de AWS (ASFF), un formato de hallazgos estándar. Con este tipo de formato, Southwest puede implementar controles de prueba complejos en varias cuentas. La aerolínea redujo el tiempo de desarrollo para implementar nuevos controles de cinco a seis semanas a una sola. Los procesos de ideación, producción y activación del desarrollo, que antes llevaban años, ahora se llevan a cabo en meses o incluso semanas. “AWS Security Hub estandarizó nuestros datos, casi como por arte de magia”, afirma Walsh. “Ahora podemos aplicar machine learning, la inteligencia artificial y la detección de anomalías, cosas que antes no podíamos hacer”.

En el futuro, Southwest planea simplificar la administración de las cuentas con AWS Identity and Access Management (AWS IAM), el cual permite a los usuarios administrar el acceso a los recursos y servicios de AWS de forma segura. Para lograr una visibilidad adicional del riesgo de seguridad que supone el acceso no deseado a los recursos y los datos, Southwest utilizará AWS IAM Access Analyzer, el cual identifica los recursos y las cuentas que se comparten con entidades externas.

Con la creación de una solución de seguridad nativa en la nube en AWS, Southwest logró la visibilidad, la resiliencia y la eficiencia necesaria para asegurar las aplicaciones y los datos confidenciales. “Si nuestro sistema de seguridad no funciona, no volamos”, afirma Barcellona. “Contar con una postura de seguridad sólida y con las capacidades que logramos con AWS es fundamental para nosotros”.