Southwest Airlines invierte en su posición de seguridad con AWS Security Hub
2021
Southwest Airlines (Southwest) quería invertir en su postura de seguridad para proteger el gran número de aplicaciones integradas que mantienen la seguridad y la fluidez de la aerolínea. Con los elementos nativos en la nube que recopilan información sobre seguridad, la aerolínea se enfocó en la creación de aplicaciones innovadoras en lugar de la administración de la infraestructura. “Queríamos ofrecer a nuestros equipos información valiosa sobre la seguridad para que cuenten con una mejor preparación para investigar y recuperarse de los eventos de seguridad y para realizar análisis retrospectivos después de los hechos”, asegura Will Walsh, administrador sénior en seguridad en la nube de Southwest.
En su proceso de migración continua a Amazon Web Services (AWS), Southwest adoptó AWS Security Hub, un servicio de administración de la postura de seguridad en la nube. Este servicio es el componente clave de una integración más amplia, automatizada y escalable, la cual ofrece a los usuarios una visión completa de las alertas de seguridad y la postura de seguridad en todas las cuentas de AWS. Con AWS Security Hub, los equipos de seguridad de Southwest logran una mayor visibilidad de las operaciones de seguridad de la aerolínea y pueden administrar con facilidad tanto las aplicaciones nativas en la nube como las de terceros.
Gracias a AWS Security Hub, ahora contamos con las capacidades de seguridad más sólidas que necesitamos”.
Jon Barcellona
Director de Ingeniería de ciberseguridad, Southwest Airlines
Automatización de las operaciones de seguridad en una empresa masiva
Southwest, cuya sede se encuentra en Texas, es una de las aerolíneas de bajo costo más grandes del mundo. Cuenta con alrededor de 54 000 empleados que transportan a 130 millones de pasajeros por año a 101 destinos en 11 países. Cuando comenzó a usar los servicios de AWS en 2010, se convirtió en una de los primeros clientes empresariales de AWS. Antes, la aerolínea utilizaba tecnología interna en sus centros de datos para administrar los horarios de los vuelos, pronosticar la demanda, programar el mantenimiento, lograr precios dinámicos para las ventas móviles y web y responder ante eventos irregulares, como las condiciones meteorológicas que provocan retrasos. Southwest quería mejorar la flexibilidad y acelerar la entrega de valor, por lo que en 2017 comenzó a migrar sus operaciones a AWS. Al principio, Southwest operaba en la nube sin dejar de utilizar el mismo modelo operativo de seguridad que había desarrollado para sus centros de datos. Sin embargo, pronto se dio cuenta de que podía maximizar sus capacidades con un enfoque nativo en la nube. La transición a un modelo de responsabilidad compartida, en el que AWS administra la infraestructura en nombre de Southwest, permite a los equipos de seguridad de la aerolínea enfocarse en sus prioridades, como la detección, la prevención y la respuesta ante los eventos de seguridad.
Southwest eligió AWS por el buen nivel disponibilidad, la resiliencia y la variedad de herramientas que el equipo de desarrollo podía usar para desarrollar las capacidades de seguridad. “La migración a AWS supuso un paso importante para mejorar la velocidad de entrega de nuestras aplicaciones de seguridad”, afirma Jon Barcellona, director de Ingeniería de ciberseguridad de Southwest. “Las herramientas de AWS simplifican la integración, la administración y la segmentación de nuestras aplicaciones de forma natural”.
Alta visibilidad de los equipos de seguridad con las herramientas de AWS
Southwest creó una solución de seguridad que usa AWS Security Hub para administrar y recopilar los datos de varios servicios de seguridad de AWS, como así también de productos de terceros. Para administrar los diversos servicios de AWS, Southwest también usa reglas personalizadas en AWS Config, un servicio para registrar y evaluar las configuraciones de los recursos de AWS. Entre los servicios que se incorporan a AWS Security Hub, se encuentra Amazon GuardDuty, un servicio de detección de amenazas que monitoriza de manera continua la actividad maliciosa y el comportamiento no autorizado. Southwest también utiliza Amazon Inspector, el cual evalúa de manera automática las aplicaciones en busca de exposiciones, vulnerabilidades y desviaciones en relación con las prácticas recomendadas. Para iniciar las investigaciones, la aerolínea utiliza Amazon Detective, el cual facilita el análisis, la investigación y la identificación rápida de las principales causas de los posibles problemas de seguridad.
La solución de Southwest utiliza AWS Security Hub para recopilar los eventos que detecten Amazon GuardDuty, AWS Config y Amazon Inspector. A partir de allí, la información del evento se acumula a nivel regional y se envía a los registros de Amazon CloudWatch, un servicio de monitorización y observabilidad. Por último, Southwest usa un adaptador para que los registros de Amazon CloudWatch envíen la información de los eventos a la solución de administración de eventos e información de seguridad empresarial de terceros. Esta solución acumula los datos de varias fuentes y realiza una correlación de eventos con contenido enriquecido para detectar los eventos de seguridad procesables. El centro de operaciones de seguridad monitoriza de manera constante los eventos y los analiza, contiene y elimina según corresponda.
Con AWS Security Hub, varios equipos de Southwest, como el centro de operaciones de seguridad, el equipo de inteligencia de amenazas, el personal de respuesta a incidentes y los equipos de aplicaciones, logran una alta visibilidad de la postura de seguridad de Southwest. La solución logró una reducción en el tiempo y la mano de obra que se necesita para implementar más de 350 controles de seguridad automatizados. También logró que Southwest alcance un alto grado de cumplimiento de los objetivos de control de seguridad asociados, los cuales constituyen su postura de seguridad. A nivel mundial, Southwest analiza más de 600 000 recursos de cientos de cuentas de AWS todos los meses; el 98 % de los recursos supera las comprobaciones de seguridad. AWS Security Hub facilita la solución del 2 % de los recursos restante. “Gracias a AWS Security Hub, ahora contamos con las capacidades de seguridad más sólidas que necesitamos”, afirma Barcellona.
Para crear bibliotecas que reduzcan el tiempo de desarrollo de los futuros controles de seguridad automatizados, Southwest usa el Formato de resultados de seguridad de AWS (ASFF), un formato de hallazgos estándar. Con este tipo de formato, Southwest puede implementar controles de prueba complejos en varias cuentas. La aerolínea redujo el tiempo de desarrollo para implementar nuevos controles de cinco a seis semanas a una sola. Los procesos de ideación, producción y activación del desarrollo, que antes llevaban años, ahora se llevan a cabo en meses o incluso semanas. “AWS Security Hub estandarizó nuestros datos, casi como por arte de magia”, afirma Walsh. “Ahora podemos aplicar machine learning, la inteligencia artificial y la detección de anomalías, cosas que antes no podíamos hacer”.
Maduración continua de la estructura de nube de la empresa
En el futuro, Southwest planea simplificar la administración de las cuentas con AWS Identity and Access Management (AWS IAM), el cual permite a los usuarios administrar el acceso a los recursos y servicios de AWS de forma segura. Para lograr una visibilidad adicional del riesgo de seguridad que supone el acceso no deseado a los recursos y los datos, Southwest utilizará AWS IAM Access Analyzer, el cual identifica los recursos y las cuentas que se comparten con entidades externas.
Con la creación de una solución de seguridad nativa en la nube en AWS, Southwest logró la visibilidad, la resiliencia y la eficiencia necesaria para asegurar las aplicaciones y los datos confidenciales. “Si nuestro sistema de seguridad no funciona, no volamos”, afirma Barcellona. “Contar con una postura de seguridad sólida y con las capacidades que logramos con AWS es fundamental para nosotros”.
Arquitectura de referencia de Southwest Airlines
Sobre Southwest Airlines
Southwest Airlines se fundó en 1967 y se convirtió en una de las aerolíneas de bajo costo más grandes del mundo. Cuenta con 54 000 empleados que administran vuelos a 101 destinos en 11 países para 130 millones de pasajeros al año.
Beneficios de AWS
- Mejoras en la visibilidad de la postura de seguridad
- Creación de una solución de seguridad escalable y automatizada
- Reducción del tiempo y de la mano de obra necesaria para implementar más de 350 controles de seguridad automatizados
- Análisis de 600 000 recursos con un 98 % de conformidad en más de 350 objetivos de control de seguridad
- Reducción del tiempo de implementación de los nuevos controles de cinco a seis semanas a una sola
- Reducción del tiempo de ideación, producción y activación del desarrollo de años a semanas o meses
- Uso de machine learning, inteligencia artificial y detección de anomalías
Servicios de AWS utilizados
AWS Security Hub
AWS Security Hub es un servicio de administración de la posición de seguridad en la nube que realiza revisiones de las prácticas recomendadas de seguridad, agrega alertas y permite la corrección automatizada.
Amazon GuardDuty
Amazon GuardDuty es un servicio de detección de amenazas que supervisa de manera continua sus cargas de trabajo y cuentas de AWS para detectar actividades maliciosas y envía hallazgos detallados de seguridad para su visibilidad y corrección.
Amazon Inspector
Amazon Inspector es un servicio automático de evaluación de asuntos de seguridad que ayuda a mejorar el nivel de seguridad y conformidad de las aplicaciones que se implementan en AWS.
Amazon Detective
Amazon Detective facilita el análisis, la investigación y la rápida identificación de la causa raíz de posibles problemas de seguridad o actividades sospechosas.
Introducción
Organizaciones de todos los tamaños y de todos los sectores transforman sus negocios y cumplen sus misiones todos los días con AWS. Contacte nuestros expertos y comience hoy mismo su propia jornada en AWS.