La infraestructura en la nube de Amazon Web Services (AWS) está diseñada para ser uno de los entornos de informática en la nube más flexibles
y seguros de los disponibles en la actualidad.
Ofrece una plataforma extremadamente
escalable y de alta fiabilidad para que los clientes
puedan implementar aplicaciones y datos de forma rápida y segura.
Los centros de datos de AWS disponen de la máxima seguridad 24/7. Los sistemas
ambientales de los centros están diseñados para minimizar el impacto de las interrupciones en las operaciones. La existencia de varias regiones geográficas disponibles hace que la información sobreviva a la mayoría de las averías, incluidas catástrofes naturales.
AWS establece exhaustivos sistemas de supervisión de seguridad y red, protegiendo frente a ataques DDoS y detección de ataques de fuerza bruta contra sistemas de contraseñas en las cuentas de AWS, poniendo a prueba la infraestructura constantemente, desde todos los ángulos posibles y desde diferentes regiones. Además del amplio equipo de expertos, AWS cuenta con una gran variedad de herramientas y sistemas que automatizan muchas de las tareas de seguridad, desde la gestión de credenciales hasta la supervisión del uso del servidor y red. Los programas de análisis automatizados, por ejemplo, han reducido el tiempo de una
evaluación de ingeniería de seguridad de horas a minutos e incrementando la velocidad de análisis de docenas de hosts al día a miles de hosts en el mismo tiempo.
La infraestructura de AWS es mejorada constantemente, sustituyendo el hardware que llega al final de su vida con procesadores más recientes, mejorando así el rendimiento e incorporando tecnologías de seguridad, buscando reducir al máximo las fricciones entre los procesos de seguridad y los servicios.
AWS construye sus centros en múltiples regiones geográficas y numerosas zonas de disponibilidad dentro de cada región. Esto es, las zonas de disponibilidad están físicamente aisladas en una región y ubicadas en zonas de menor riesgo. En caso de improbable fallo, los procesos automatizados desvían el tráfico de datos del cliente de la zona afectada, equilibrando la carga de tráfico entre los demás sitios.
Para clientes obligados a cumplir con determinadas leyes o normas de seguridad, AWS proporciona informes de certificación que describen cómo su infraestructura en la nube cumple con los controles exigidos por estas normas. Cada certificación que AWS obtiene significa que un auditor ha verificado que están instaurados los controles específicos y que funcionan según lo previsto.
[email protected] www.beeva.com
MÁXIMA SEGURIDAD
Para ayudar al mantenimiento de seguridad de datos y sistemas en la nube, AWS dispone de una amplia variedad de funcionalidades y servicios.
SEGURIDAD DE RED
Provee de diferentes opciones de seguridad a nivel de red para mantener los recursos y comunicaciones con la privacidad deseada.
CONTROL DE ACCESO
Solo permite acceso a usuarios, clientes y aplicaciones autorizadas a los recursos AWS, estableciendo políticas de control de acceso, cuentas individuales de usuarios y credenciales únicas.
MONITORIZACIÓN Y SEGUIMIENTO
AWS ofrece herramientas para hacer seguimiento y monitorizar los recursos en la nube. Con ellas, hay inmediata visibilidad del inventario así como sobre usuarios y actividades sobre la aplicación.
COPIAS DE SEGURIDAD
Una estrategia de seguridad debe incluir backups o snapshots de los datos con regularidad. Por eso, AWS realiza backups automáticos y, en otros casos, es posible configurar snapshots usando las diferentes opciones de configuración.
CIFRADOS
AWS utiliza sistemas de cifrado siempre que sea posible y recomienda su uso. Permite el almacenamiento de datos cifrados, centralización de gestión de claves y almacenamiento en hardware cifrado dedicado.
REGIÓN AISLADA
Para clientes con necesidades adicionales por cumplimiento de regulación especial, AWS ofrece regiones aisladas llamadas GovCloud (US) con estrictos y únicos requerimientos de seguridad que permiten un entorno en el que lanzar aplicaciones ITAR.
6 www.beeva.com
Al transferir una infraestructura de TI a AWS se crea un modelo de responsabilidad compartida
entre AWS y el cliente.
AWS opera, gestiona y controla los componentes del sistemas operativo host y la capa de
virtualización a fin de ofrecer seguridad física en las instalaciones en las que operan los servicios. Por su parte, el cliente asume la responsabilidad y la gestión, entre otros elementos, del sistema operativo invitado (incluidas las actualizaciones y las revisiones de seguridad), de cualquier otro software de aplicaciones asociadas y de la configuración del firewall del grupo de seguridad que ofrece AWS.
En el proceso de creación de infraestructura
en AWS, los clientes deben pensar
detenidamente los servicios que eligen, ya que las responsabilidades varían en función de los utilizados, de la integración de los mismos en el entorno TI y de la legislación y reglamentos aplicables.
La seguridad o cumplimiento de requisitos más estrictos pueden mejorarse utilizando aplicaciones tecnológicas como firewalls basados en host, prevención y detección de intrusiones basadas en host, cifrado y gestión de claves.
Esta responsabilidad compartida ofrece
flexibilidad y la posibilidad de que el cliente pueda controlar la implementación de soluciones
que satisfagan los requisitos de certificación específicos del sector.
A la hora de conectar unas instalaciones o centros de datos con los servicios de AWS se utilizan protocolos seguros como HTTPS, SFTP, SSH, etc, a través de conexiones habituales de salida a Internet.
Adicionalmente, en función de los requerimientos de seguridad, privacidad y rendimiento, están disponibles otras dos opciones de conexión:
Conexión a través de túneles VPN ipsec punto a punto entre las instalaciones y AWS.
Conexión a través de líneas dedicadas privadas Fibber Channel de hasta 10 Gigabits entre las instalaciones y AWS. Estas conexiones alternativas, y más seguras, pueden ser desplegadas en alta disponibilidad para garantizar el continuo funcionamiento del servicio.
Desde BEEVA recomendamos, y ayudamos a implementar, una de estas alternativas más seguras para garantizar la protección de nuestros datos.
8 www.beeva.com
Existen diversas opciones para incrementar los
niveles de seguridad perimetral y networking en
las soluciones AWS.
El servicio de redes privadas (VPC) permite reservar un espacio de direcciones privadas que pueden utilizarse libremente en los diseños, permitiendo segmentar este espacio en diferentes subredes con perfiles de conectividad y enrutamiento.
Dentro de este servicio de redes privadas virtuales, están disponibles dos capas diferentes para definir
permisos de acceso entre los diferentes elementos
desplegados en el entorno, así como hacia y desde el exterior: security groups y access control list.
SECURITY GROUPS
Actúan como un firewall virtual que permite definir reglas de acceso entre los diferentes elementos de AWS. Actúan de forma reflexiva permitiendo el tráfico de vuelta relacionado con un origen confiable.
ACCESS CONTROL LIST (ACL)
Dentro de la VPC existe la opción de definir ACLs clásicas basadas en direcciones CIDR que permitirán detallar qué tráfico está permitido y denegado, tanto de entrada como de salida. Las ACLs no actúan de forma reflexiva, siendo necesario detallar el tráfico que queremos permitir.
MÁXIMO NIVEL DE SEGURIDAD PERIMETRAL Y NETWORKING
IAM
Identity Access Management (IAM) es el gestor de identidades de AWS. Permite crear usuarios, grupos y roles, a los cuales asignar niveles de acceso a todos los recursos de AWS con una muy alta granularidad. El uso de roles permite asignar niveles de acceso a los servidores sin necesidad de persistir credenciales, evitando la problemática de la custodia de
almacenamiento de credenciales de acceso. Desde IAM también es posible definir políticas de credenciales, lo que permitirá ajustarla a las exigencias corporativas.
CLOUDTRAIL
Otra necesidad habitual en materia de seguridad es la de disponer de registros de auditoría de todas las
acciones realizadas sobre la plataforma. Para esto, AWS
dispone del servicio Cloudtrail, que registra todas las llamadas realizadas a la API así como quién la hizo, a qué hora, desde dónde y otros datos relevantes y de utilidad. Además, cabe destacar que Cloudtrail ofrece un entorno amigable en el que poder consultar estos registros.
MULTIFACTOR
AWS soporta la integración en sus sistemas de autenticación
por multifactor (MFA), que consiste en la inclusión de
un segundo elemento de seguridad en el proceso de autenticación. Esto permite proteger el acceso a nuestros sistemas con dos elementos de diferente naturaleza: “Algo que sabes”, como puede ser una contraseña. “Algo que tienes”, como es un token criptográfico software o hardware.
AWS integra de forma nativa el uso de este tipo de dispositivos en sus servicios.
STS
Security Token Service (STS) permite provisionar credenciales
IAM de forma temporal mediante el uso de tokens. Esto
permite conceder acceso, de forma manual o automática, a determinados recursos protegidos de nuestro entorno de forma temporal y bajo un procedimiento seguro y controlado.
10 www.beeva.com
CIFRADO IN TRANSIT
Los datos viajan por un canal adecuadamente
protegido mediante protocolos seguros que
permiten el cifrado del canal.
CIFRADO AT REST
Los datos se almacenan de forma segura,
cifrando el lugar donde se alojan usando
protocolos seguros.
En AWS todos los servicios de almacenamiento que habitualmente usamos en las plataformas (EBS, S3, Redshift, DynamoDB, RDS, etc) soportan la posibilidad de cifrarse haciendo uso de los algoritmos estándar del mercado.
Respecto a su tránsito, todos los endpoints implicados en este tipo de arquitecturas (APIs, Kinesis, SFTP, etc.) soportan protocolos de
transporte seguros en los que los datos viajan por un canal cifrado.
CUSTODIA DE CLAVES
Otra problemática habitual de las herramientas de cifrados es cómo proteger adecuadamente
las claves que utilizamos en los algoritmos. AWS
dispone de múltiples opciones para la custodia de claves de cifrados en función de las necesidades de seguridad y costes deseados.
KMS
Servicio gestionado para la creación, control y
custodia de las claves usadas.
CLOUDHSM
Esta solución, basada en la suite de Safenet Luna SA, permite el despliegue dentro de un entorno cloud un appliance hardware de HSM 100% dedicado para la infraestructura.
HSM ON PREMISE
Integración de los servicios con dispositivos HSM
ya existentes en una arquitectura on-premise propia.
A la hora de proteger datos sensibles, es fundamental que éstos se encuentren protegidos por potentes
algoritmos de cifrado. Tradicionalmente, cuando hablamos de cifrado, hay dos niveles a tener en cuenta para
12 www.beeva.com
AWS COMPLIANCE
HIPAA
Entorno seguro de AWS para procesar, mantener y almacenar información sanitaria confidencial según la Ley estadounidense de portabilidad y responsabilidad de seguros médicos (Health Insurance Portability and Accountability Act, HIPPA).
SOC 1/SSAE 16/ISAE 3402
La auditoría de este informe se realiza conforme a los requisitos de los estándares profesionales Statement of Standards for Attestation Engagements No. 16 (SSAE 16) e International Standards for Assurance Engagements No. 3402 (ISAE 3402). Este informe regulado por dos estándares cumple una amplia variedad de requisitos de auditoría de los organismos de auditoría de EEUU e internacionales.
SOC 2
El informe SOC 2 constituye un testimonio que amplía la evaluación de los controles conforme a los criterios establecidos por los Principios de los servicios de confianza del American Institute of
Certified Public Accountants (AICPA) que definen controles de prácticas principales relacionados con
la seguridad, disponibilidad, integridad durante el procesamiento, confidencialidad y privacidad.
SOC 3
El informe SOC 3 incluye la opinión de un auditor externo sobre el funcionamiento de los controles incluidos en el informe SOC 2, la declaración del departamento de gestión de AWS relativa a la eficacia de los controles e información general acerca de la infraestructura y los servicios de AWS.
AWS Compliance ayuda a comprender los controles estrictos instaurados en AWS para mantener la seguridad y protección de datos. Al construir sistemas sobre la infraestructura cloud de AWS, las responsabilidades de conformidad son compartidas; AWS Compliance garantiza la seguridad de la
infraestructura subyacente pero el cliente es responsable de las iniciativas de conformidad derivadas de todo lo que ponga en la infraestructura AWS.
La información recogida en AWS Compliance permite comprender el planteamiento de AWS en cuestiones de
conformidad, así como evaluar el cumplimiento de la organización respecto a los requisitos de la industria y gobierno.
La infraestructura en la nube de AWS está diseñada y gestionada conforme a las siguientes normativas, estándares y prácticas recomendadas.
PCI DSS NIVEL 1
AWS alcanza el nivel 1 conforme al estándar de seguridad de datos del sector de tarjetas de pago (Payment Card Industry, PCI), permitiendo ejecutar aplicaciones en la infraestructura tecnológica de AWS conforme al sector de PCI para el almacenamiento, procesamiento y transmisión de datos de tarjetas de crédito en la nube.
ISO 27001
Estándar de seguridad global que estipula los requisitos de los sistemas de gestión de seguridad de la información, ofreciendo un planteamiento sistemático para la gestión de la información de la empresa y los clientes que se basa en la evaluación periódica de los riesgos.
FEDRAMP(SM)
AWS cuenta con dos títulos de autorización de agencia operativa (Agency Authority to Operate, ATO) conforme al programa federal de gestión de riesgos y autorizaciones (Federal Risk and Authorization Management Program, FedRAMP) que ofrece un planteamiento estandarizado para la evaluación de la seguridad, autorización y la supervisión continua de productos y servicios de la nube hasta un nivel moderado.
ITAR
La región AWS GovCloud (EEUU) respalda el cumplimiento de las Regulaciones sobre Tráfico Internacional de Armas (ITAR) que obliga a las empresas sometidas a las regulaciones de exportación de ITAR a controlar las exportaciones no intencionadas mediante restricción del acceso a datos protegidos.
FIPS 140-2
El Federal Information Processing Standard, FIPS, Publication 140-2 es un estándar de seguridad del gobierno de EEUU que especifica los requisitos de seguridad relativos a los módulos criptográficos para la protección de información delicada.
CSA
La iniciativa Security, Trust & Assurance Registry (STAR) de CSA es un registro gratuito y de acceso público que documenta los controles de seguridad proporcionados por las diferentes ofertas de informática en la nube, ayudando a los usuarios a evaluar la seguridad de los proveedores de servicios en la nube que tienen contratados o que prevean contratar.
MPAA
Prácticas recomendadas de z (MPAA) para almacenar, procesar y ofrecer de forma segura contenido multimedia protegido y de otro tipo.
[email protected] www.beeva.com
