Cómo mejorar la seguridad de tu cuenta
Si ya tienes una o múltiples cuentas AWS y quieres mejorar tu enfoque de seguridad, deberías leer este artículo.
AWS Security
Guía completa de seguridad en AWS, desde los fundamentos hasta la detección avanzada de amenazas con Security Hub, GuardDuty y WAF.
5 articles
1. Introducción
Ya tienes una o múltiples cuentas AWS y quieres mejorar tu enfoque de seguridad, el Well-Architected Framework (pilar de seguridad) contiene mucha información, hice un resumen completo aquí, y puede que quieras aprender sobre un plan para mejorar tu cuenta.
Compartiré contigo dos recursos para hacerlo:
- Modelo de Madurez de Seguridad de AWS te permitirá conocer las acciones recomendadas para fortalecer tu postura de seguridad en cada etapa de tu viaje a la nube
- Contiene 4 fases. La primera,
quick wins, te permite mejoras de seguridad rápidas
- Contiene 4 fases. La primera,
- Artículo en el blog de seguridad de AWS: Los 10 consejos de seguridad en la nube más importantes que Stephen Schmidt, Director de Seguridad de la Información de AWS, presentó en AWS re:Invent 2019
2. Modelo de Madurez de Seguridad de AWS
Es un recurso valioso para revisar el estado actual y mejorar la seguridad de tus soluciones.
La clasificación de las diferentes recomendaciones en categorías depende del costo y dificultad de implementar el control de seguridad, y el impacto positivo que logrará.
Este modelo se actualiza mensualmente por AWS. De hecho, un mes después de escribir este artículo tuve que actualizarlo porque el modelo había cambiado y todas las áreas de la organización habían cambiado, aunque el contenido es el mismo.
La documentación oficial se encuentra aquí
2.1. Introducción
2.1.1. Frameworks de Seguridad
Múltiples frameworks te ayudan a diseñar la construcción de un plan para proporcionar seguridad a tus cargas en la nube.
- Well Architected Framework
- NIST CyberSecurity Framework
- Center for Internet Security (CIS) AWS Foundations
- Cloud Adoption Framework
2.1.2. Cómo priorizar
“Con tantos servicios, controles de seguridad y recomendaciones… ¿Cómo priorizo? ¿Por dónde empiezo?”
Todas las recomendaciones de Quick Win pueden implementarse en menos de una semana.
2.1.3. Camino evolutivo
2.2. Fase 1. Quick Wins
Quick Wins son lo primero en lo que enfocarse, controles que podrías implementar en una organización dentro de un máximo de una o dos semanas, y mejorarán significativamente tu postura de seguridad.
| Nivel | Recomendación |
|---|---|
| Gobernanza de seguridad | - Asignar contactos de seguridad - Seleccionar la(s) región(es) |
| Aseguramiento de seguridad | - Automatizar alineación con mejores prácticas usando AWS Security Hub |
| Gestión de identidad y acceso | - Autenticación multifactor - Evitar usar Root y auditarlo - Análisis de acceso y roles con IAM Access Analyzer |
| Detección de amenazas | - Detección de amenazas con Amazon GuardDuty y revisar tus hallazgos - Auditar llamadas API con AWS CloudTrail - Remediar hallazgos de seguridad encontrados por AWS Trusted Advisor - Alarmas de facturación para detección de anomalías |
| Gestión de vulnerabilidades | |
| Protección de infraestructura | - Limitar grupos de seguridad |
| Prevención de datos | - Amazon S3 Block Public Access - Analizar postura de seguridad de datos con Amazon Macie |
| Seguridad de aplicaciones | - AWS WAF con reglas gestionadas |
| Respuesta a incidentes | - Actuar sobre hallazgos de Amazon GuardDuty |
Enlace al contenido actualizado y más información sobre cada recomendación
2.3. Fase 2. Foundational
Los controles y recomendaciones pueden tomar algo más de esfuerzo para implementar pero son muy importantes.
| Nivel | Recomendación |
|---|---|
| Gobernanza de seguridad | - Identificar requisitos de seguridad y regulatorios - Identificar los datos más sensibles (joyas de la corona) - Plan de capacitación en seguridad en la nube |
| Aseguramiento de seguridad | - Monitoreo de configuración con AWS Config |
| Gestión de identidad y acceso | - Repositorio de usuarios centralizado - Políticas de organización (SCPs) |
| Detección de amenazas | - Investigar la mayoría de hallazgos de Amazon GuardDuty |
| Gestión de vulnerabilidades | - Gestionar vulnerabilidades en tu infraestructura y realizar pentesting - Gestionar vulnerabilidades en tu aplicación |
| Protección de infraestructura | - Gestionar tus instancias con Fleet Manager - Segmentación de red (Redes públicas/privadas - VPCs) - Gestión multi-cuenta con AWS Control Tower |
| Protección de datos | - Cifrado de datos (AWS KMS) - Respaldos - Descubrir datos sensibles con Amazon Macie |
| Seguridad de aplicaciones | - Involucrar equipos de seguridad en desarrollo - Sin secretos en tu código AWS Secrets Manager |
| Respuesta a incidentes | - Definir playbooks de respuesta a incidentes - Redundancia usando múltiples zonas de disponibilidad |
Enlace al contenido actualizado y más información sobre cada recomendación
2.4. Fase 3. Efficient
Hay algunos controles y recomendaciones que nos permiten gestionar la seguridad de manera eficiente.
| Nivel | Recomendación |
|---|---|
| Gobernanza de seguridad | - Realizar modelado de amenazas |
| Aseguramiento de seguridad | - Crear tus informes para cumplimiento (como PCI-DSS) |
| Identidad y acceso | - Revisión de privilegios (Mínimo privilegio) - Estrategia de etiquetado - IAM de cliente: seguridad de tus clientes |
| Detección de amenazas | - Integración con SIEM/SOAR - Análisis de flujos de red (VPC Flow Logs) |
| Gestión de vulnerabilidades | - Campeón de seguridad en desarrollo |
| Protección de infraestructura | - Pipeline de generación de imágenes - Anti-Malware/EDR - Control de tráfico saliente - Usar servicios abstractos (Serverless) |
| Protección de datos | - Cifrado en tránsito |
| Seguridad de aplicaciones | - WAF con reglas personalizadas - Shield Advanced Mitigación avanzada de DDoS |
| Respuesta a incidentes | - Automatizar playbooks críticos y más frecuentes - Automatizar corrección de desviaciones en configuraciones - Usar infraestructura como código (CloudFormation, CDK) |
Enlace al contenido actualizado y más información sobre cada recomendación
2.5. Fase 4. Optimized
Y finalmente, hay aquellos controles y recomendaciones que te permiten optimizar en un ciclo de mejora continua, la postura de seguridad cada día. Se caracterizará por controles de seguridad que a menudo se ven en organizaciones más maduras, en términos de seguridad u organizaciones grandes con requisitos muy exigentes.
| Nivel | Recomendación |
|---|---|
| Gobernanza de seguridad | - Formar un equipo de Chaos Engineering (Resiliencia) - Compartir trabajo y responsabilidad de seguridad |
| Aseguramiento de seguridad | |
| Gestión de identidad y acceso | - Control de acceso basado en contexto - Pipeline de generación de políticas IAM |
| Detección de amenazas | - Amazon Fraud Detector - Integración con feeds de inteligencia adicionales |
| Gestión de vulnerabilidades | |
| Protección de infraestructura | - Estandarización de procesos con Service Catalog |
| Protección de datos | |
| Seguridad de aplicaciones | - DevSecOps - Formar un Red Team (Punto de vista del atacante) |
| Respuesta a incidentes | - Automatizar la mayoría de playbooks - Amazon Detective: Análisis de causa raíz - Formar un Blue Team (Respuesta a incidentes) - Automatización de recuperación ante desastres multi-región |
Enlace al contenido actualizado y más información sobre cada recomendación
2.6. Nivel de madurez completo
Este es el modelo de madurez completo con todas las fases a través de todas las épicas.
Recomiendo que accedas a la página original para ver la tabla enlazable en el sitio original.
3. Top 10 recomendaciones
Estos son los 10 consejos de seguridad en la nube más importantes que Stephen Schmidt, Director de Seguridad de la Información de AWS, presentó en AWS re:Invent 2019.
El artículo original fue escrito en el blog de AWS aquí
- Configurar contactos de cuenta
- Usar autenticación multifactor (MFA)
- es la mejor manera de proteger cuentas del acceso inapropiado
- No codificar secretos en duro
- usar AWS Secrets Manager
- si estás usando Java o Python puedes usar CodeGuru Reviewer para detectar secretos en el código
- Limitar grupos de seguridad
- usar AWS Config y AWS Firewall Manager para asegurar programáticamente que la configuración del grupo de seguridad de la nube privada virtual (VPC) sea la que pretendías
- Políticas de datos intencionales
- diseñar tu enfoque de clasificación de datos
- Centralizar logs de CloudTrail
- AWS recomienda que escribas logs en una cuenta AWS designada para logging (Log Archive).
- Los permisos en el bucket deben prevenir la eliminación de los logs, y también deben estar cifrados en reposo. Revisa cómo usar AWS para visualizar logs de AWS CloudTrail
- Validar roles IAM
- Usar AWS IAM Access Analyzer
- Tomar acción sobre hallazgos
- Activar AWS Security Hub, Amazon GuardDuty, y AWS Identity and Access Management Access Analyzer
- También necesitas tomar acción cuando veas hallazgos
- Rotar claves
- Estar involucrado en el ciclo de desarrollo
- Elevar la cultura de seguridad de tu organización.