Seguridad

El pilar (pilar) incluye (descripción)

El pilar de la seguridad ofrece una descripción general de los principios de diseño, prácticas recomendadas y preguntas. Puede encontrar orientación normativa sobre la implementación en el documento técnico Pilar de seguridad.

Principios de diseño

Hay (recuento) principios de diseño de (pilar-inferior) en la nube:

Definición

Hay (recuento) áreas de prácticas recomendadas de (pilar-inferior) en la nube:

Antes de diseñar cualquier carga de trabajo, implemente prácticas que fomenten la seguridad. Usted querrá controlar qué acciones pueden realizar usuarios específicos. Además, necesitará poder identificar incidentes de seguridad, proteger sus sistemas y servicios y mantener la confidencialidad e integridad de los datos mediante la protección de datos. Debe contar con un proceso bien definido y practicado para responder a los incidentes de seguridad. Estas herramientas y técnicas son importantes porque respaldan objetivos como la prevención de la pérdida económica o la conformidad con las obligaciones normativas.

El modelo de responsabilidad compartida de AWS permite a las organizaciones que adoptan la nube alcanzar sus objetivos en torno a la seguridad y conformidad. Dado que AWS protege físicamente la infraestructura que respalda nuestros servicios en la nube, como cliente de AWS, usted puede concentrarse en usar los servicios para lograr sus objetivos. La nube de AWS también ofrece un mayor acceso a los datos de seguridad y un enfoque automatizado para responder a eventos de seguridad.

Prácticas recomendadas

Seguridad

A fin de operar la carga de trabajo de forma segura, debe aplicar prácticas recomendadas generales en todas las áreas de la seguridad. Tome los requisitos y los procesos que ha definido en la excelencia operativa a nivel de la organización y carga de trabajo y aplíquelos en todas las áreas.

Mantenerse al día con las recomendaciones del sector y AWS y la inteligencia de amenazas facilita la evolución del modelo de amenazas y los objetivos de control. La automatización de los procesos de seguridad, las pruebas y la validación permiten escalar las operaciones de seguridad.

Las siguientes preguntas se enfocan en estas consideraciones para (pilar inferior).

SEC 1: ¿Cómo opera su carga de trabajo de manera segura?

AWS recomienda segregar las diferentes cargas de trabajo por cuenta, según su función y los requisitos de conformidad o de confidencialidad de los datos.

Identity and Access Management

Identity and Access Management es una pieza clave de un programa de seguridad de la información, que garantiza que únicamente los usuarios y componentes autorizados y autenticados puedan acceder a los recursos y solo de la forma prevista. Por ejemplo, debe definir los elementos principales (es decir, las cuentas, usuarios, roles y servicios que pueden realizar acciones en la cuenta), crear políticas que se ajusten a esos elementos principales e implementar una administración de credenciales sólida. Estos elementos de administración de privilegios son el núcleo de la autenticación y autorización.

En AWS, la gestión de privilegios está respaldada principalmente por el servicio AWS Identity and Access Management (IAM), que le permite controlar el acceso programático y de los usuarios a los servicios y recursos de AWS. Debe aplicar políticas detalladas, que asignen permisos a un usuario, grupo, rol o recurso. También tiene la capacidad de exigir prácticas de contraseña seguras, como el nivel de complejidad, evitando la reutilización y aplicando la autenticación multifactor (MFA). Puede usar la federación con su servicio de directorio existente. Para las cargas de trabajo que requieren que los sistemas tengan acceso a AWS, IAM permite el acceso seguro a través de roles, perfiles de instancia, identidad federada y credenciales temporales.

Las siguientes preguntas se enfocan en estas consideraciones para (pilar inferior).

SEC 2: ¿Cómo administra las identidades para las personas y las máquinas?
SEC 3: ¿Cómo administra los permisos para las personas y las máquinas?

Las credenciales no deben compartirse entre usuarios o sistemas. El acceso del usuario debe otorgarse con el uso de un enfoque de privilegios mínimos con las prácticas recomendadas, incluidos los requisitos de contraseña y MFA. El acceso programático, incluidas las llamadas API a los servicios de AWS, se debe realizar con credenciales temporales y de privilegios limitados, tales como las que otorga AWS Security Token Service.

AWS proporciona recursos que pueden ayudarlo con la gestión de la identidad y el acceso. Para aprender las prácticas recomendadas, explore nuestros laboratorios prácticos sobre administración de credenciales y autenticación, control del acceso humano y control de acceso programático.

Detección

Puede usar los controles de detección para identificar un posible incidente o amenaza de seguridad. Son una parte esencial de los marcos de gestión y se pueden utilizar para apoyar un proceso de calidad, una obligación legal o de conformidad o para identificar amenazas y responder a ellas. Existen diferentes tipos de controles de detección. Por ejemplo, realizar el inventario de los activos y sus atributos detallados fomenta una toma de decisiones más eficaz (y controles del ciclo de vida) para ayudar a establecer líneas de base operativas. También puede utilizar la auditoría interna, un examen de los controles relacionados con los sistemas de información, para garantizar que las prácticas cumplan con las políticas y los requisitos y que haya configurado las notificaciones de alerta automáticas correctas en función de las condiciones definidas. Estos controles son factores reactivos importantes que pueden ayudar a la organización a identificar y comprender el alcance de la actividad anómala.

En AWS, puede implementar controles de detección mediante el procesamiento de registros, eventos y controles que permiten realizar auditorías, análisis automatizados y alarmas. Los registros de CloudTrail, las llamadas a la API de AWS y CloudWatch proporcionan el monitoreo de métricas mediante alarmas y AWS Config proporciona el historial de configuración. Amazon GuardDuty es un servicio de detección de amenazas administrado que monitorea continuamente la actividad maliciosa o el comportamiento no autorizado para proteger sus cuentas y cargas de trabajo de AWS. Los registros de nivel de servicio también están disponibles, por ejemplo, puede usar Amazon Simple Storage Service (Amazon S3) para registrar solicitudes de acceso.

Las siguientes preguntas se enfocan en estas consideraciones para (pilar inferior).

SEC 4: ¿Cómo detecta e investiga eventos de seguridad?

La administración de registros es importante para una carga de trabajo Well-Architected por razones que van desde seguridad o análisis forense hasta requisitos normativos o legales. Es fundamental que analice los registros y responda a ellos para poder identificar posibles incidentes de seguridad. AWS ofrece funciones que facilitan la implementación de la administración de registros mediante la capacidad para definir un ciclo de vida de conservación de los datos o para definir el lugar donde estos se conservarán, archivarán o posiblemente eliminarán. Esto permite que el manejo de los datos confiables y predecibles sea más simple y rentable.

Protección de la infraestructura

La protección de la infraestructura abarca las metodologías de control, como la defensa en profundidad, que son necesarias para aplicar las prácticas recomendadas y cumplir las obligaciones organizativas o normativas. El uso de estas metodologías es fundamental para el éxito de las operaciones en desarrollo en la nube o las instalaciones.

En AWS, puede implementar la inspección de paquetes con estado y sin estado, ya sea con el uso de tecnologías nativas en AWS o productos y servicios de socios disponibles a través de AWS Marketplace. Utilice Amazon Virtual Private Cloud (Amazon VPC) para crear un entorno privado, seguro y escalable en el que pueda definir la topología, incluidas gateways, tablas de enrutamiento y subredes públicas y privadas.

Las siguientes preguntas se enfocan en estas consideraciones para (pilar inferior).

SEC 5: ¿Cómo protege los recursos de su red?
SEC 6: ¿Cómo protege los recursos informáticos?

En cualquier tipo de entorno se recomiendan múltiples capas de defensa. En el caso de la protección de la infraestructura, muchos de los conceptos y métodos son válidos en los modelos en la nube y las instalaciones. El cumplimiento de la protección de límites, el monitoreo de los puntos de entrada y salida y la implementación exhaustiva de registros, monitoreo y alertas es esencial para un efectivo plan de seguridad de la información.

Los clientes de AWS pueden adaptar, o reforzar, la configuración de una nube de Amazon Elastic Compute Cloud (Amazon EC2), un contenedor de Amazon EC2 Container Service (Amazon ECS) o una instancia de AWS Elastic Beanstalk y conservar esta configuración en una imagen de Amazon Machine (AMI) inalterable. Luego, ya sea que se activen por Auto Scaling o se lancen manualmente, todos los servidores (instancias) virtuales nuevos lanzados con esta AMI reciben la configuración reforzada.

Protección de los datos

Antes de diseñar la arquitectura de cualquier sistema, se deben establecer prácticas fundamentales que incidan en la seguridad. Por ejemplo, la clasificación de los datos permite categorizarlos en función del nivel de confidencialidad, así como el cifrado protege los datos al impedir el acceso no autorizado. Estas herramientas y técnicas son importantes porque respaldan objetivos como la prevención de la pérdida económica o la conformidad con las obligaciones normativas.

En AWS, las siguientes prácticas facilitan la protección de los datos:

  • Como cliente de AWS, usted tiene el control total sobre sus datos.

  • AWS le facilita el cifrado de los datos y la administración de claves, incluida la rotación regular de estas, tarea que AWS puede automatizar fácilmente o bien que usted puede realizar.

  • Está disponible el registro detallado con contenido importante, como el acceso a archivos y cambios.

  • AWS ha diseñado sistemas de almacenamiento que ofrecen una resistencia excepcional. Por ejemplo, Amazon S3 Standard, S3 Standard–IA, Única zona - Acceso poco frecuente de S3 y Amazon Glacier están diseñados para proporcionar una durabilidad del 99,999999999 % de los objetos durante un año determinado. Este nivel de durabilidad corresponde a una pérdida esperada anual promedio de 0,000000001 % de los objetos.

  • El control de versiones, que puede ser parte de un proceso más amplio de gestión del ciclo de vida de datos, puede proteger los datos contra sobreescrituras accidentales, eliminaciones y daños similares.

  • AWS nunca inicia el movimiento de datos entre Regiones. El contenido colocado en una región permanecerá en esa región a menos que habilite explícitamente una función o aproveche un servicio que ofrezca esa funcionalidad.

Las siguientes preguntas se enfocan en estas consideraciones para (pilar inferior).

SEC 7: ¿Cómo clasifica los datos?
SEC 8: ¿Cómo protege sus datos en reposo?
SEC 9: ¿Cómo protege sus datos en tránsito?

AWS proporciona múltiples medios para cifrar datos en reposo y en tránsito. Desarrollamos funciones en nuestros servicios que facilitan el cifrado de sus datos. Por ejemplo, hemos implementado el cifrado del lado del servidor (SSE) para Amazon S3 con el fin de facilitarle el almacenamiento de sus datos en forma cifrada. También puede hacer que todo el proceso de cifrado y descifrado HTTPS (generalmente conocido como terminación SSL) esté a cargo de Elastic Load Balancing (ELB).

Respuesta ante incidentes

Incluso con controles preventivos y de detección extremadamente sólidos, la organización debe implementar procesos para responder al potencial impacto de los incidentes de seguridad y mitigarlos. El diseño de la arquitectura de su carga de trabajo incide considerablemente en la capacidad de los equipos para operar con eficacia durante un incidente, para aislar o contener los sistemas y para restablecer las operaciones a un buen estado conocido. Establecer las herramientas y el acceso antes de un incidente de seguridad y luego practicar rutinariamente la respuesta ante incidentes durante los días de prueba ayudará a garantizar que la arquitectura pueda dar lugar a una recuperación e investigación oportunas.

En AWS, las siguientes prácticas facilitan una respuesta efectiva a los incidentes:

  • Está disponible el registro detallado con contenido importante, como el acceso a archivos y cambios.

  • Los eventos pueden procesarse automáticamente y activar herramientas que automaticen las respuestas mediante el uso de las API de AWS.

  • Con AWS CloudFormation, puede aprovisionar anticipadamente herramientas y una “sala limpia”. Esto le permite realizar análisis forenses en un entorno seguro y aislado.

Las siguientes preguntas se enfocan en estas consideraciones para (pilar inferior).

SEC 10: ¿Cómo se anticipa, responde y recupera de los incidentes?

Asegúrese de tener una manera de otorgar acceso rápidamente a su equipo de seguridad y automatice el aislamiento de instancias, así como la captura de los datos y estados para el análisis forense.

Recursos

Consulte los siguientes recursos para obtener más información sobre nuestras prácticas recomendadas de (pilar).

Security Pillar
AWS Cloud Security
AWS Compliance
AWS Security Blog
AWS Security Overview
AWS Security Best Practices
AWS Risk and Compliance
AWS Security State of the Union
Shared Responsibility Overview