Webinar Seguridad en la nube de AWS Mejores Prácticas

Seguridad en la nube de AWS, Mejores prácticas Ivan Salazar, Arquitecto de Soluciones @ivansalazarc

Qué veremos el día de hoy

1.  El modelo de responsabilidad compartida en la seguridad

2.  Usar el alcance global y la disponibilidad de AWS

3.  Construir una virtual private cloud segura

4.  Usar AWS Identity and Access Management

5.  Proteger su contenido en AWS

Seguridad en la nube de AWS – Mejores prácticas






Cada cliente comparte los mismos fundamentos de seguridad de AWS

AWS mantiene un ambiente formal controlado •  SOC 1 Type II publicado cada 6 meses •  SOC 2 Security y SOC 2 Availability cada 6 meses •  Certificación ISO 27001 •  Certificación ISO 9001 •  Proveedor certificado en PCI DSS Nivel 1 •  Certificación FedRAMP •  HIPAA BAAs

Servicios base de AWS

Cómputo Almacena-miento

Bases de datos Redes

Infraestructura global de AWS Regiones

Zonas de disponibilidad Ubicaciones

al borde

AWS Foundation Services

Gestión de llaves cifradas

Cifrado de cliente y servidor

Protección de tráfico de red

Plataforma, Aplicaciones, Identity & Access Management

Sistema operativo, Redes y Configuración de Firewalls

Contenido del cliente C

lient

es

La seguridad es compartida entre AWS y los clientes

Los clientes son responsables de su seguridad EN

la nube

AWS se encarga de la seguridad de la plataforma






al borde

•  Cultura de excelencia operacional y en seguridad

•  Programa de auditorías y aseguramiento contínuo

•  Protección de punto de acceso de AWS a larga escala

•  Configuran las características de seguridad de AWS

•  Tienen acceso a un mercado maduro de solciones

•  Pueden implementar y gestionar sus propios controles

Los clientes se pueden enfocar en la seguridad que importa a su negocio

Gestión de llaves cifradas

Cifrado de cliente y servidor

Protección de tráfico de red

Plataforma, Aplicaciones, Identity & Access Management

Sistema operativo, Redes y Configuración de Firewalls

Contenido del cliente C

lient

es






al borde

Sus propias soluciones con cumplimiento

Puede lograr cumplimiento punto a punto, certificación y auditoría

Sus propios certificados

27001 y 9001

Sus propias auditorías

financieras o de tipo SOC si es

proveedor

•  Logre el cumplimiento PCI, HIPAA y MPAA

•  Certifíquese en ISO27001 en menor tiempo

•  Audite sus controles clave, o publique sus propias certificaciones

Clie

ntes






al borde

•  Cultura de excelencia operacional y en seguridad

•  Programa de auditorías y aseguramiento contínuo

•  Protección de punto de acceso de AWS a larga escala

Los clientes mantienen control de su propiedad intelectual y contenido •  El personal de AWS no tiene acceso al contenido del cliente o al sistema operativo

huésped •  Los clientes administran sus objetivos de privacidad como deseen, lea nuestros

whitepapers de seguridad en nuestro centro de compliance. •  Seleccione la región geográfica de AWS sin replicación automática a ningún lado •  Los clientes pueden encriptar su contenido, mantener la gestión y propiedad de las

llaves e implementar controles adicionales para proteger su contenido en AWS

La seguridad es nuestra prioridad número uno •  La seguridad en Amazon está por encima, contamos con un CISO dedicado

y una fuerte cultura orientada a la excelencia operacional y análisis a la raíz de las cosas.

•  Equipos de seguridad internos y dedicados, que constantemente revisan la seguridad de nuestros servicios y como ayudar a nuestros clientes a asegurar los suyos

Los clientes son dueños y tienen control total de su contenido






Seguridad en la nube de AWS – Mejores prácticas

Región US-WEST (N. California)

EU-WEST (Ireland) ASIA PAC (Tokyo)

ASIA PAC (Singapore)

US-WEST (Oregon)

SOUTH AMERICA (Sao Paulo)

US-EAST (Virginia)

GOV CLOUD

ASIA PAC (Sydney)

Los clientes pueden usar cualquier región de AWS al rededor del mundo

EU-CENTRAL (Frankfurt)

Zona de Disponibilidad

Cada región ofrece resiliencia y alta disponibilidad

US-WEST (N. California)

ASIA PAC (Tokyo)

ASIA PAC (Singapore)

US-WEST (Oregon)

SOUTH AMERICA (Sao Paulo)

US-EAST (Virginia)

GOV CLOUD

ASIA PAC (Sydney)

EU-WEST (Ireland)

EU-CENTRAL (Frankfurt)

Ubicacioes al borde

Dallas(2)

St.Louis Miami

Jacksonville Los Angeles (2)

Palo Alto

Seattle

Ashburn(2)

Newark New York (2)

Dublin

London(2) Amsterdam

Stockholm

Frankfurt Paris(2)

Singapore(2)

Hong Kong (2)

Tokyo

Sao Paulo

South Bend

San Jose

Osaka Milan

Sydney

Chennai Mumbai

Utilice las ubicaciones al borde para servir contenido más cerca de sus clientes

Rio de Janeiro

Melbourne

Taipei Manila

Asegurando su negocio en la nube de AWS






Cada región de AWS tiene múltiples zonas de disponibilidad Zo

na d

e D

ispo

nibi

lidad

A

Zona

de

Dis

poni

bilid

ad B

Su VPC cubre todas las zonas de disponibilidad en la región Zo

na d

e D

ispo

nibi

lidad

A

Zona

de

Dis

poni

bilid

ad B

Los clientes controlan los rangos de direcciones IP en su VPC

VPC A - 10.0.0.0/16

Seleccione el rango de IPs •  Su propia sección privada y

aislada de la nube de AWS •  Cada VPC tiene un espacio

privado de direcciones IPs •  El bloque máxico CIDR que

puede asignar es /16 •  Por ejemplo 10.0.0.0/16 –

esto permite 256*256 = 65,536 direcciones IP

Seleccione sus IPs estratégicamente •  Una vez creado el espacio de

direcciones IP no se puede cambiar

•  Piense en la superposición con otras VPCs o redes corporativas existentes

•  No desperdicie el espacio de IPs, pero no limite su crecimiento tampoco

Zona

de

Dis

poni

bilid

ad A

Zona

de

Dis

poni

bilid

ad B

Nos vamos a concentrar en una sóla zona por el momento

VPC A - 10.0.0.0/16

Zona

de

Dis

poni

bilid

ad A

Segmente el espacio de direcciones IP en múltiples subnets

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

NAT

10.0.5.0/24 10.0.4.0/24

EC2

EC2 Web

Zona

de

Dis

poni

bilid

ad A

Ubique sus instancias EC2 en subredes de acuerdo a su diseño

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

NAT

10.0.5.0/24

Jump

10.0.4.0/24

EC2 App Log

EC2 Web

Zona

de

Dis

poni

bilid

ad A

Use los grupos de seguridad de VPC para proteger sus instancias

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

NAT

10.0.5.0/24

Jump

10.0.4.0/24

EC2 App

“Los servidores web se pueden conectar a los de aplicación por

el puerto 8080”

Log

EC2 Web

Zona

de

Dis

poni

bilid

ad A

Cada instancia puede estar hasta en 5 grupos de seguridad

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

NAT

10.0.5.0/24

Jump

10.0.4.0/24

EC2 App

“Permitir conexiones de salida al servidor

de logs”

Log

EC2 Web

Zona

de

Dis

poni

bilid

ad A


el puerto 8080”

Use grupos de seguridad diferentes para aplicativos y gestión

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

NAT

10.0.5.0/24

Jump

10.0.4.0/24

EC2 App

“Permite SSH y ICMP de los servidores en el grupo Jump

Hosts”

Log

EC2 Web

Zona

de

Dis

poni

bilid

ad A

“Permitir conexiones de salida al servidor

de logs”


el puerto 8080”

Los grupos de seguridad mantienen el estado en las reglas de entrada y salida

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

NAT

10.0.5.0/24

Jump

10.0.4.0/24

EC2 App Log

EC2 Web

Grupos de seguridad •  Operan a nivel instancia •  Sólo soportan reglas ALLOW •  Conservan el estado •  Máximo 50 reglas por grupo de

seguridad

Zona

de

Dis

poni

bilid

ad A

El ruteador de VPC va a permitir el ruteo entre subredes

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

Router

NAT

10.0.5.0/24

Jump

10.0.4.0/24

EC2 App Log

EC2 Web

Zona

de

Dis

poni

bilid

ad A

Use Network Access Control Lists to restrict internal VPC traffic

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

Router

NAT

10.0.5.0/24

Jump

10.0.4.0/24

EC2 App Log

EC2 Web

Zona

de

Dis

poni

bilid

ad A

Puede usar NACLs para restringir tráfico interno en la VPC

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

10.0.3.0/24

EC2

Router

NAT

10.0.5.0/24

Jump

10.0.4.0/24

EC2 App Log

EC2 Web

“Denegar todo el tráfico entre la subred de los servidores web y la

subred de las bases de datos”

Zona

de

Dis

poni

bilid

ad A

Use las NACLs para defender a profundidad

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

10.0.3.0/24

EC2

Router

NAT

10.0.5.0/24

Jump

10.0.4.0/24

EC2 App Log

EC2 Web

NACLs son opcionales •  Aplicados a nivel subred, sin estado y

permiten todo por defecto •  ALLOW y DENY •  Aplica a todas las instancias de la

subred •  Úsese como segunda línea de defensa

Zona

de

Dis

poni

bilid

ad A

Use los Elastic Load Balancers para distribuir el tráfico entre las instancias

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

Router

NAT

10.0.5.0/24

Jump

10.0.4.0/24

EC2 App Log

EC2 Web EC

2 Web

Elastic Load Balancer

Zona

de

Dis

poni

bilid

ad A

Los Elastic Load Balancers también se ubican en grupos de seguridad

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

Router

NAT

10.0.5.0/24

Jump

10.0.4.0/24

EC2 App Log

EC2 Web EC

2 Web EC

2 EC2

EC2 Web


Zona

de

Dis

poni

bilid

ad A

Su seguridad puede escalar hacia arriba o abajo junto con su solución

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

Router

NAT

10.0.5.0/24

Jump

10.0.4.0/24

EC2 App Log

EC2 Web EC2 Web EC2 EC2 Web

Elastic load balancers •  Las instancias se pueden agregar o

quitar automáticamente del pool mediante el uso de reglas

•  Puede agregar instancias al grupo de seguridad al momento de lanzarse


Auto scaling

Zona

de

Dis

poni

bilid

ad A

Conectando su VPC a Internet

Agregue un Internet Gateway para rutear el tráfico a Internet de su VPC

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

NAT

10.0.4.0/24

EC2 App

EC2 Web EC

2 Web EC

2 EC2 Web

Internet Gateway

VPC Router

Zona

de

Dis

poni

bilid

ad A

Usted selecciona que subredes pueden rutear hacia Internet

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

10.0.4.0/24

EC2 App

EC2 Web EC

2 Web EC

2 EC2 Web

Internet Gateway

VPC Router

Ruteo a Internet •  Agregue tablas de ruteo a las

subredes para controlar los flujos del tráfico a Internet – estas se volverán subredes públicas

•  El ruteo al Internet Gateway le permite asignar una dirección Elastic IP estática o usar direcciones IP públicas administradas por AWS a su instancia

Zona

de

Dis

poni

bilid

ad A

Las instancias NAT permiten tráfico de salida a Internet desde subredes privadas

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

NAT

10.0.4.0/24

EC2 App

EC2 Web EC

2 Web EC

2 EC2 Web

Internet Gateway

VPC Router

Ruteo a Internet •  Utilice una instancia NAT

para proveer conectividad a Internet a las subredes privadas – se requiere para acceder los repositorios de actualizaciones de AWS

•  Esto además permite a los servidores de back-end rutear a los APIs de AWS, por ejemplo: guardar logas en S3 o usar DynamoDB, SQS, etc.

NAT

Zona

de

Dis

poni

bilid

ad A

Integrar su VPC con su infraestructura actual

Su centro de datos

Agregue un Virtual Private Gateway para rutear el tráfico a sus instalaciones

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

NAT

10.0.4.0/24

EC2 App

EC2 Web EC

2 Web EC

2 EC2 Web VPC

Router

Virtual Private Gateway

Zona

de

Dis

poni

bilid

ad A

Su centro de datos

Puede crear múltiples túneles IPSEC a sus propios puntos de acceso de VPN

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

NAT

10.0.4.0/24

EC2 App

EC2 Web EC

2 Web EC

2 EC2 Web VPC

Router

Virtual Private Gateway

Zona

de

Dis

poni

bilid

ad A

Su centro de datos

Gateway del cliente

También puede tener una conexión privada con AWS Direct Connect

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

NAT

10.0.4.0/24

EC2 App

EC2 Web EC

2 Web EC

2 EC2 Web VPC

Router

Direct Connect Virtual Private

Gateway

Zona

de

Dis

poni

bilid

ad A

Su centro de datos

Gateway del cliente

Si lo necesita también puede crear VPNs sobre Direct Connect

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

NAT

10.0.4.0/24

EC2 App

EC2 Web EC

2 Web EC

2 EC2 Web VPC

Router


Gateway

Zona

de

Dis

poni

bilid

ad A

Su centro de datos

Gateway del cliente

Puede rutear las conexiones a Internet por sus propios gateways

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

NAT

10.0.4.0/24

EC2 App

EC2 Web EC

2 Web EC

2 EC2 Web VPC

Router


Gateway

Zona

de

Dis

poni

bilid

ad A

Su centro de datos

Gateway del cliente

Puede tener ambas, conectividad privada y de Internet a su VPC

VPC A - 10.0.0.0/16

10.0.1.0/24

10.0.2.0/24

EC2

10.0.3.0/24

EC2

NAT

10.0.4.0/24

EC2 App

EC2 Web EC

2 Web EC

2 EC2 Web VPC

Router


Gateway

Internet Gateway

Amazon S3 DynamoDB NAT

Zona

de

Dis

poni

bilid

ad A

Su centro de datos

Gateway del cliente

Usted tiene el control total al diseñar soluciones híbridas robustas

VPC A - 10.0.0.0/16

EC2

EC2

NAT

EC2

EC2

VPC Router


Gateway

Internet Gateway

Amazon S3 DynamoDB NAT

Su centro de datos


Web

Public subnet

Private subnet

Web Auto scaling

Master

EC2

Failover

Zona

de

Dis

poni

bilid

ad A

La interconexión de VPC le puede ayudar a construir sus ambientes híbridos

Su organización

Equipos de proyectos

Marketing

Unidades de negocio

Reporteo

Digital / Sitios Web

Dev and Test

Redshift EMR

Analytics

Aplicaciones internal

empresa-riales

Amazon S3

Amazon Glacier

Almacena-miento/

respaldos

Puede distribuir la carga entre zonas de disponibilidad para lograr resiliencia

VPC A - 10.0.0.0/16


Avai

labi

lity

Zone

B

Web

Public subnet

EC2

EC2

Private subnet

Private subnet

Web Auto scaling

Application

Application

Elastic Load Balancer Private subnet

Elastic Load Balancer Public subnet

Web

Private subnet

Web


EC2 Private subnet

Application

Application

Auto scaling

Auto scaling

Auto scaling

Internet Gateway Zo

na d

e D

ispo

nibi

lidad

A

Los ELBs balancearán el tráfico en una zona y redireccioanrán en caso de falla

VPC A - 10.0.0.0/16


Avai

labi

lity

Zone

B

Web

Public subnet

EC2

EC2

Private subnet

Private subnet

Web Auto scaling

Application

Application


Elastic Load Balancer Public subnet

Web

Private subnet

Web


EC2 Private subnet

Application

Application

Auto scaling

Auto scaling

Auto scaling

Internet Gateway Zo

na d

e D

ispo

nibi

lidad

A

AWS Config Nuevo desde noviembre 2014

AWS Config es un servicio completamente gestionado que le ofrece un inventario de los recursos de AWS, así como como el historial de configuración y las notificaciones en los cambios de configuración

AWS Config Cambio continuo Registro Recursos que

cambian

AWS Config Historia

Stream

Snapshot (ex. 2014-11-05) AWS Config

Securing Your Business on the AWS Cloud






AWS IAM le permite controlar de manera segura el acceso a los servicios y recursos de AWS • Controle quién puede hacer qué, cuándo y desde dónde • Control de permisos de usuarios, recursos y acciones

finamente granulares • Agregue autenticación multi-pasos

•  Token físico o aplicaciones para smartphones • Pruebe sus políticas nuevas usando el simulador de

políticas de Identity and Access Management

Usted tiene control detallado y granular de su ambiente de AWS

Segregar funciones entre roles con IAM

Region

Internet Gateway

Subnet 10.0.1.0/24

Subnet 10.0.2.0/24

VPC A - 10.0.0.0/16

Availability Zone

Availability Zone

Router

Internet

Customer Gateway

Usted selecciona quién puede hacer qué en su ambinete de AWS y desde dónde

Dueño de la cuenta de AWS

Admòn de redes

Admón de seguridad

Admón de servidores

Admón de almacenamiento

Administre y opere

Nunca ponga las llaves secretas de AWS en su instancia de EC2 o las guarde en sus Amazon Machine Images (AMIs) si puede evitarlo. Es muy simple:

•  Cree un rol de IAM

•  Defina qué cuentas o servicio de AWS pueden asumir el rol, por ejemplo: EC2

•  Defina que acciones API y recursos puede usar la aplicación después de asumir el

rol, por ejemplo: acceso de lectura a un bucket de S3

•  Especifique al rol cuando lance sus instancias

•  Haga que la aplicación obtenga un grupo de credenciales temporales y las utilice AWS administra y distribuye acceso al rol para usted no tenga que hacerlo!

Use IAM para distribuir credenciales temporales para acceso a las API

Mantenga control de quién puede hacer qué en AWS usando su directorio activo existente •  AWS IAM ahora soporta SAML 2.0 •  Federar con directorios activos locales como

Active Directory o cualquier proveedor de identidad compatible con SAML 2.0

•  Utilice los usuarios y grupos del directorio activo para autenticación y autorización

•  Ejemplo: El grupo de seguridad “Administradores de bases de datos” del directorio puede tener acceso para crear y migrar based de datos locales e instancias RDS de AWS

Federar AWS IAM con directorios existentes

Incremente la visibilidad sobre loque sucede en su ambiente de AWS – quién hizo qué, cuándo y desde dónde •  CloudTrail va a grabar los accesos a las llamadas API

y guardar los logs en sus buckets de S3, sin importar cómo fueron realizadas esas llamadas

•  Sea notificado cada entrega de logs utilizando Simple Notification Service de AWS

•  Soporte a muchos servicios de AWS incluyendo EC2, EBS, VPC, RDS, IAM, STS y RedShift

•  Agregue información de logs en un sólo bucket de S3 Integración con hrramientas de análisis de socios de negocio de AWS incluyendo Splunk, AlertLogic and SumoLogic.

Use AWS CloudTrail para reastrear el acceso a los API y IAM

Los logs de AWS CloudTrail en múltiples casos de uso interesantes

CloudTrail le puede ayudar a lograr muchas tareas •  Análisis de seguridad

•  Rastrear cambios en los recursos de AWS, por ejemplo grupos de seguridad de VPC y NACLs

•  Cumplimiento – entienda el histórico de llamados a las API

•  Analize y resuleva problemas operacionales – Identifique de maerá rápida los cambios más recientes a su ambiente

Amazon CloudWatch Logs puede monitorear su sistema, aplicación y archivos propios de logs de las instancias Amazon EC2 y otras fuentes, por ejemplo: Monitoreé los archivos de logs de http de su servidor web y use los filtros de CloudWatch Metrics para identificar errores del tipo 404 y contar el número de ocurrencias dentro de un tiempo específico Con CloudWatch Alarms puede posteriormente notificarle cuando el número de errores 404 sobrepasa el límite que haya decidido definir – puede utilizar esto para automáticamente generar un ticket de investigación

Puede monitorear todo con CloudWatch logs

AWS Key Management Service - NUEVO desde noviembre 2014

•  Un servicio administrado que facilita la creación, el control, la rotación y el uso de sus llaves de cifrado, integrado con Amazon EBS, Amazon

S3, y Amazon Redshift al momento de lanzar – más servicios próximamente

•  Integrado con AWS AWS CloudTrail para proveer logs auditables para ayudar en sus actividades de cumplimiento regulatorio

•  Jerarquía de llaves de dos capas usando envelope encryption •  Llaves de datos únicas usadas para cifrar datos de usuarios,

las llaves maestras de AWS KMS cifran las llaves de datos •  Beneficios de envelope encryption:

•  Limita el riezgo de una llave de datos comprometida •  Mejor rendimiento para cifrar volúmenes altos de datos

•  Más fácil gestionar un número menor de llaves maestras que millones de llaves de datos

Customer Master Key(s)

Data Key 1

Amazon S3 Object

Amazon EBS

Volume

Amazon Redshift Cluster

Data Key 2 Data Key 3 Data Key 4

Custom Application

AWS KMS

AWS Key Management Service Integrado con AWS IAM Console

Securing Your Business on the AWS Cloud






AWS tiene muchos servicios de almacenamiento de contenido

EBS

DBA

S3

RDS

Redshift

Configure controles de acceso de S3 a nivel bucket u objeto •  Limite accesos y permisos lo más cerrado que pueda y revise de

manera regular los logs de acceso •  Use manejo de versiones para archivos importantes con MFA

requerida para borrado Use las característica de cifrado de S3 •  Use HTTPS para proteger los datos en tránsito •  Cifrado S3 del lado del servidor

•  AWS va a cifrar de manera transparente sus objetos usando AES-256 y administrará las llaves en su nombre, o puede administrar las mismas usando AWS Key Management Service (KMS)

•  Use cifrado de S3 del lado del cliente •  Cífre la información antes de enviarla a S3 •  Constrúyalo usted mismo o utilice el SDK de Java

•  Use MD5 checksums para verificar la integridad de los objetos copiados en S3 durante períodos de tiempo prolongados

Haga uso de las características de seguridad disponibles en S3

Entendiendo las características de seguridad de Amazon Redshift

Redshift proveé cifrado completo de disco con sólo un click como estándar

•  Si lo desea los respaldos a S3 también pueden cifrarse

•  Puede usar AWS CloudHSM para guardar sus llaves o proveer llaves de AWS Key Management Service (KMS)

Puede construir cifrado punto-a-punto para su flujo de datos

•  Use el cifrado del lado del cliente para cifrar datos en S3

•  Pase a Redshift la misma llave y desencriptará al momento de cargar los datos

Configura los grupos de seguridad considere usar una VPC

•  RedShift carga los datos desde S3 a través de SSL

•  Limite el acceso a esos buckets de S3

Utilice SSL para proteger la información en tránsito si se consulta desde Internet

Sáque provecho de las características de seguridad de Amazon RDS

RDS puede reducir la carga operativa de seguridad de sus bases de datos

•  Llimite el acceso a las instancias de RDS con grupos de seguridad

•  Limite el acceso de administradores a RDS con permisos AWS IAM

Cifre los datos en tránsito

•  Oracle Native Network Encryption, SSL para SQL Server, MySQL y PostgreSQL – especialmente si la base de datos es accesible desde Internet

Cifre los datos en reposo en tablas sensibles

•  Nativo en RDS a través de SQL Server y Oracle Transparent Data Encryption

•  Cifre información sensible al nivel de la aplicación o use un proxy de DB

Configure la instalación automática de parches para actualizaciones menores – Permita a AWS hacer el trabajo pesado por usted dentro una ventana de mantenimiento que haga seleccionado

DBA

RDS

Cifrado de volúmenes EBS en instancias de Amazon EC2

Use el cifrado nativo de AWS, despliegue su propia solución comercial de

los socios de negocio de AWS

•  Cifrado nativo a AWS EBS a un sólo click. Las llaves de cifrado se pueden consultar y administrar mediante AWS Key Management Service

•  Use Windows BitLocker o Linux LUKS para volúmenes cifrados

•  SafeNet Protect-V, Trend Secure Cloud, Voltage – algunos vendedores ofrecen cifrado de volúmenes de arranque, incluyendo opciones de alacenamiento de llave de hardware

Administrar llaves de cifrado es crítico y difícil! •  Cómo gestionaría las llaves y estaría seguro que estén disponibles

cuando se necesite, por ejemplo al arranque de la instancia?

•  Cómo las mantendrá actualizadas y prevenir pérdidas? Cómo las rotará de manera regular y mantenerlas privadas?

EBS

Módulo de seguridad de hardware controlado por el cliente dentro de la región de AWS para su VPC •  Dispositivos estándar en la industria SafeNet Luna.

Certificados Common Criteria EAL4+, NIST FIPS 140-2 •  Los administradores de Amazon que dan mantenimiento a

los dispositivos no tienen acceso al mismo

Almacenamiento de llaves Confiable y Durable •  Utilícelo para cifrado de datos transparente en bases de

datos auto administradas y de forma nativa co Redshift •  Intégrelo con sus aplicaciones usando los API de Java •  Integrado con cifrado de discos del mercado y guías de

configuración para almacenar certificados de seguridad SSL

También puede utilizar AWS CloudHSM para guardar sus llaves de encripción

AWS CloudHSM se integra con dispositivos SafeNet HSMs locales

Su centro de datos

Aplicaciones

Su HSM NAT CloudHSM NAT CloudHSM

Volume, object, database encryption

Transaction signing / DRM / apps

EC2

H/A PAIR SYNC

EBS

S3 Amazon S3

Amazon Glacier

¡GRACIAS!

Ivan Salazar, Arquitecto de Soluciones @ivansalazarc

Webinar Seguridad en la nube de AWS Mejores Prácticas

Technology

Transcript of Webinar Seguridad en la nube de AWS Mejores Prácticas