Libro Blanco

Red de Seguridad ágil en el entorno AWS

El Incremento en las preocupaciones de

seguridad de la Nube y Nube Pública
Los Servicios de Web de Amazon (AWS) son los más
notables de los servicios de programación en nube pública
a los cuáles las organizaciones están recurriendo para su
infraestructura de centro de datos. Muchas empresas están
haciendo uso de AWS para extender y aumentar su centro
de datos interno con mayor agilidad, elasticidad, y ejecución
en la nube pública. Algunas organizaciones, particularmente
las empresas de rápido crecimiento en la web, medios de
comunicación o redes sociales -Netflix, como ejemplo clave-
incluso pueden cimentar la totalidad de su centro de datos en
la infraestructura de AWS.
La división de la responsabilidad varía un poco dependiendo
de si el servicio en la nube es Infraestructura, Plataforma, o un
servicio de Software. En el más popular laaS, Amazon AWS EC2,
por ejemplo, Amazon ofrece hospedaje de instancias de servidor
virtual. Amazon es responsable del acceso físico, asegurando la
infraestructura física del centro de datos, y asegurando la
plataforma de virtualización que aloja la instancia, incluyendo el
hipervisor y la red virtual, incluyendo el mantenimiento de la red
y el aislamiento del servidor en el entorno entre usuarios y multi-
usuarios.

Con el potencial de IT y los beneficios de negocios de la

programación en la nube, también vienen las preocupacio-
nes sobre la seguridad y la privacidad. De hecho la seguridad
a menudo se ubica como la preocupación #1 entre los CIO’s
y ejecutivos IT cuando se considera una adopción de nube,
a pesar de la fuerte falta de evidencia de que los entornos de
nube pública experimentan más violaciones de la seguridad
que los centros de datos internos. Pero sin duda, el entorno
compartido del proveedor multi-usuarios ofrece más desafíos
a los equipos de empresas IT para aplicar sus controles de
seguridad tradicionales, operaciones, auditoría y garantías Modelo de Responsabilidad Compartida para Servicios Resumidos

para los nuevos paradigmas de la nube. Responsabilidad de Seguridad Compartida para Servicios AWS

Figura 1: Modelo de Responsabilidad Compartida para la Infraestructura de Servicios de AWS

Modelo de Responsabilidad Compartida
para Asegurar la Nube Pública
Fortinet, Amazon y otros organismos líderes en la industria
-partiendo desde la Alianza de Seguridad de Nube (CSA)
hasta el Consejo PCI- todos apoyan la idea del modelo de
responsabilidad compartida para la seguridad en los entor-
nos de la nube. El modelo de responsabilidad compartida
divide las responsabilidades tradicionales de seguridad
empresarial entre el proveedor de servicios de nube (CSP)
y el usuario de la nube.
Los usuarios son responsables de la seguridad del sistema
operativo OS y la aplicación de seguridad dentro de la instancia
(que es básicamente el contenedor VM), y también para cualquier
tráfico de red de seguridad a/desde su entorno EC2. Esto puede
incluir un borde o perímetro de firewall o tráfico de Internet a un
AMI, así como para zonificación interna como el firewall DMZ entre
las instancias orientadas a la web. Esto también puede ser
entendido como “tener tu propia” responsabilidad de segurida.
También esto significa que los usuarios no están directamente
responsabilizados en asegurar y auditar la infraestructura misma
de la nube, aunque por general el operador de la nube tiene la
responsabilidad de proveer la documentación de sus prácticas
y cumplimiento a los usuarios.

1 www.fortinet.com
Libro Blanco: Red de Seguridad ágil en el entorno AWS

Networking de Software-Definido y
Seguridad en AWS
A primera vista, la creación de redes no es inmediatamente
obvia en AWS. AWS EC2 por sí mismo, por ejemplo, no tiene
switches o routers virtuales para configurar, más bien presenta
una red plana con todas las instancias de servidor conectadas
directamente a Internet. No tan bien publicitado por Amazon,
sin embargo, por debajo de la interfaz AWS sencilla de usar,
reside quizás una de las redes definidas de software (SDN)
más sofisticadas de hoy, en la producción a nivel mundial,
comparado con Google, Facebook y Microsoft Azure.
Esto no sólo proporcionará conectividad básica a Internet para
instancias EC2, sino que también proporcionará muchas de las
funciones más avanzadas, como por ejemplo la función conjunta
de los sitios globales de Amazon a través de WAN o proporci-
onando equilibrio en la carga. Estas capacidades no serían
efectivamente posibles sin las avanzadas capas o recubrimientos
definidos de software, pero los usuarios sólo consumen el SDN
sin problemas y de forma transparente y resultan los beneficios
como la alta disponibilidad o elasticidad para las cargas de
trabajo.

El Networking en AWS está expuesto principalmente a la Nube

AWS Privada Virtual (VPC), que es un servicio adicional que
aumenta las instancias del servidor EC2 con las características
de creación de redes virtuales como DHCP, NAT, subredes y
gateways de Internet. En lugar de exponer cualquier noción
explícita de interruptor o router, Amazon expone una porción
delegada de su red definida de software que uno puede
configurar - por ejemplo las tablas para el tráfico privado
"interno" definido entre subredes. La mayoría de las empresas
que están desplegando más que una simple instancia básica
de servidor web a AWS es probable que ya estén utilizando el
VPC.
Por tanto, VPC es también la base, para la seguridad de red
para un entorno de AWS, proporcionando configuración de la
la red para ser capaz de vigilar y hacer cumplir el tráfico de
red virtual. Con VPC uno puede configurar las tablas de
enrutamiento para colocar una red, un firewall o un IPS, en
sí como el despliegue de instancia de una máquina o
dispositivo virtual, en línea entre instancias de EC2 y delante
de cualquier gateway de Internet.
Figura 2: Tabla de enrutamiento AWS VPC Ejemplo para Firewalls virtuales
AWS ofrece cierta seguridad incorporada tanto en EC2 y VPC
para cargas de trabajo de los usuarios, más allá de lo que se
necesita para asegurar la plataforma de infraestructura de AWS.
Los grupos de seguridad en AWS proporcionan alguna agrupa-
ción básica de instancias a zonas seguras, y con eficacia ofrecen
algunas capacidades básicas de firewall. En EC2 este es sólo de
entrada, pero en una VPC uno puede configurar reglas bidirecci-
onales. VPC también ofrece gateways virtuales privados para
establecer conexiones IPSec VPN para la red interna propia.
Muchas organizaciones de empresas IT, sin embargo,
especialmente aquellas que tienen necesidades complejas de
un centro de datos o que están tratando sus entornos de nube
públicos como una extensión integral de su centro de datos
interno, querrán ver las soluciones para la seguridad de la red
de empresas para asegurarse de que sus instancias de AWS
cumplan con la política de seguridad de la empresa y el
cumplimiento externo y reglamentos. Un despliegue de misión
crítica en AWS, por ejemplo, puede tener una configuración
WAN compleja con un VPN sitio-a-sitio para la replicación a
través de dos diferentes AWS de zona geográfica para la más
alta disponibilidad, sitio-a-sitio VPNs para el centro interno de
datos y redes de socios, así como para conectividad VPN para
acceso administrativo remoto.

2 www.fortinet.com
Libro Blanco: Red de Seguridad ágil en el entorno AWS
Soluciones de Seguridad Fortinet para AWS
Como uno de los 3 primeros proveedores de seguridad a
nivel mundial, Fortinet ofrece no solo dispositivos de hardware
de clase mundial, sino que también ha invertido en los últimos
años en dispositivos virtuales que pueden ser ejecutados y
desplegados en plataformas líderes privadas y en la nube
pública.
Para entornos específicos de AWS, las soluciones de
seguridad de red disponibles incluyen:
• FortiGate-VM, que proporciona la insignia de Fortinet
con su centro de datos de firewalling, VPN, prevención
de intrusiones, anti-virus, firewalling de última generación
(por ejemplo, controles de aplicaciones) y otras capacidades
contra las amenazas unificadas.
• FortiWeb-VM, que proporciona aplicaciones de seguridad
contra el Top Ten de las amenazas OWASP, como el
Cross-site scripting (XSS) o el SQL de inyección en
contra del contenido específico de una aplicación
en la web.
Los dispositivos virtuales de Fortinet mantienen todo en
orden entre la funcionalidad y los dispositivos de hardware
de la interfaz del usuario, para que no haya pérdida de las
capacidades de protección y seguridad para las cargas de
trabajo en AWS. Los dispositivos de Fortinet también pueden
desplegarse en una variedad de tamaños de instancias EC2,
con un mayor CPU virtual y memoria RAM permitiendo un
rendimiento más alto en la seguridad de red.
Panel único de Gestión a través de las
Nubes Híbridas
Para las empresas el extender su centro de datos interno a
AWS en un modelo híbrido de nube, garantizando una postura
de políticas de seguridad consistente es vitalmente importante.
No solo es crítico para las cargas de trabajo de hoy en día que
residen principalmente en el centro de datos o en la nube,
pero a medida que más personas hablan de las conmutaciones
por error entre las nubes, migración existente a través de WAN
y “saturación de la nube”, existen más y más posibilidades que
las cargas de trabajo dinámicamente se muevan a los entornos
de la nube. Tener políticas de seguridad que cambian para una
carga de trabajo existente no es solo indeseable, sino que
también inadecuado.
3 www.fortinet.com
Barrera Interna
DC
Gestión centralizada
de Fortinet a través
de la Nube híbrida
Dispositivos FortiGate
Internos
Rojo = ruta de control
Negro = ruta de datos
Figura 3: Panel único de gestión a través de las nubes híbridas
Los productos de gestión centrales de Fortinet pueden
gestionar múltiples dispositivos físicos y virtuales de FortiGate
en centros de datos internos, y también se pueden extender
a la nube pública para gestionar dispositivos de Fortinet en AWS.
Esto asegura una postura de seguridad consistente a través
del entorno total del centro de datos híbrido.
Estas ofertas de gestión centrales incluyen:
• FortiManager – configuración centralizada, suministro
basado en políticas, administración de actualizaciones
y supervisión, a través de la infraestructura física y virtual,
y las nubes públicas y privadas.
• FortiAnalyzer – registro centralizado, análisis y presentación
de informes a través de la infraestructura física y virtual, y las
nubes públicas y privadas.
Las empresas incluso pueden desplegar el centro de gestión
de soluciones Fortinet en AWS. Los beneficios de desplegar
FortiManager-VM o FortiAnalyzer-VM en AWS son similares
en cuanto a otras cargas de trabajo de misión crítica, pero
pueden incluir específicamente alta disponibilidad y escalabili-
dad, almacenamiento flexible de registros y análisis.
Libro Blanco: Red de Seguridad ágil en el entorno AWS

Ejecutando la Seguridad On-Demand Resumen

Las soluciones AWS de Fortinet están integradas y Con la combinación de redes definida por software en AWS
desplegadas a través del mercado AWS. El AWS de y la prestación de servicios y el consumo basado en la utilidad
mercado no es sólo un portal de autoservicio para las del mercado AWS, Fortinet se está percatando de la visión de
aplicaciones, sino que también se ocupa del despliegue la seguridad-como-un-servicio. Juntos AWS y Fortinet están
y la entrega de las instancias en un entorno de usuario redefiniendo la seguridad como un componente ágil y flexible
de EC2 o VPC. En el caso de las soluciones de seguridad de la Infraestructura -como-servicio- tanto como de recursos
que son más de infraestructura que de la aplicación de informáticos, la creación de redes y el almacenamiento
cargas de trabajo, está ejecutando la inserción y el sumin- - en lugar de - una idea ‘bolt-on’ de último momento. Para
istro de servicios en las plataformas de virtualización de obtener más información sobre las soluciones de Fortinet
AWS y SDN. para AWS, por favor visite:
http://www.fortinet.com/solutions/public-cloud
Todas las soluciones de Fortinet pueden ser desplegadas
a través del mercado AWS con un modelo de licencia de
‘bring-your-own’ (BYOL), es decir, la licencia debe ser
adquirida a través de un canal tradicional de Fortinet. Pero
a partir del 2014, algunos de los dispositivos virtuales de
Fortinet ahora cuentan con licencias integradas, medición
y facturación con el mercado AWS, es decir, que se pueden
comprar sin problema y desplegar del mercado AWS sin
pasos de adquisición por separado.
Esto significa que los usuarios de AWS pueden utilizar ahora
la seguridad on-demand de Fortinet y de forma inmediata, de
la misma manera que utilizan AWS EC2 o S3, incluyendo la
infraestructura de consumo en una base de utilidad - por
ejemplo, el pago por horas. Alternativamente la fijación de
precios anual también está disponible para aquellos que
todavía quieren protección bajo demanda sin contratos a
largo plazo, pero que necesitan planificar sus presupuestos
y gastar en un ciclo anual, así como aprovechar los descuentos
típicos del 20-40% de descuento que van con la planificación.

OFICINAS GENERALES EMEA OFICINA DE VENTAS APAC OFICINA DE VENTAS OFICINAS DE VENTAS EN LATINOAMERICA
Fortinet Inc. 120 rue Albert Caquot 300 Beach Road 20-01 Prol. Paseo de la Reforma 115 Int. 702
899 Kifer Road 06560, Sophia Antipolis, The Concourse Col. Lomas de Santa Fe,
Sunnyvale, CA 94086 France Singapore 199555 C.P. 01219
United States Tel: +33.4.8987.0510 Tel: +65.6513.3730 Del. Alvaro Obregón
Tel: +1.408.235.7700 Fax: +33.4.8987.0501 Fax: +65.6223.6784 México D.F.
Fax: +1.408.235.7737 Tel: 011-52-(55) 5524-8480
www.fortinet.com/sales

Copyright © 2014 Fortinet, Inc. Todos los derechos reservados. Fortinet®, FortiGate®, FortiGuard®, y algunas otras marcas son marcas registradas de Fortinet, Inc., y otros nombres de Fortinet en este documento también pueden ser marcas
registradas o marcas registradas por derecho consuetudinario de Fortinet. Todos los otros nombres de productos o compañías pueden ser marcas registradas de sus respectivos propietarios. Los criterios de desempeño y otros que se presentan en
este documento se lograron en pruebas internas de laboratorio bajo condiciones ideales. El desempeño real y otros resultados pueden variar. Los resultados de desempeño pueden verse afectados por las variables de la red, los diferentes ambientes
de la misma u otras condiciones. Nada de lo expresado en este documento representa compromiso obligatorio alguno por Fortinet, y Fortinet niega toda responsabilidad por garantías, ya sea expresas o implícitas, excepto en la medida en la que Fortinet
celebre un contrato escrito, firmado por el Consejo General de Fortinet con un comprador, que garantice expresamente que el producto identificado se desempeñará de acuerdo a ciertos parámetros de desempeño expresamente identificados, en caso
de que los haya, sólo en lo relativo a los criterios específicos de desempeño identificados en dicho contrato escrito serán obligatorios para Fortinet. Para claridad absoluta, cualquier garantía estará limitada al desempeño bajo condiciones ideales iguales
a las de las pruebas internas de laboratorio de Fortinet. Fortinet niega en su totalidad cualquier convenio o representación o garantía de conformidad con este documento, ya sea expresa o implícita. Fortinet se reserva el derecho de cambiar, modificar
4
transferir o de lo contrario revisar esta publicación sin previo aviso y la versión más actual de la publicación será la aplicable.