UNIDAD TEMÁTICA

Seguridad en AWS
SHARED RESPONSIBILITY MODEL
 SHARED RESPONSIBILITY MODEL

AWS: Security of the cloud

• Protege la infraestructura global de AWS
• Seguridad física de los centros de datos
• Infraestructura de hardware: Servidores, dispositivos de almacenamiento
• Software: Sistemas operativos, sistemas de virtualización
• Infraestructura de red: Enrutadores, cableado, firewall
 SHARED RESPONSIBILITY MODEL

Cliente: Security in the cloud

• Son responsables de todo lo que colocan en la nube

• Su responsabilidad depende de los servicios contratados

• Instancias: responsable del sistema operativo instalado

• Proteger las aplicaciones que se lanzan en los servicios de AWS

• Configuraciones de los grupos de seguridad

• Administración segura de las cuentas de AWS
• La encriptación del contenido que se guarda en AWS
SHARED RESPONSIBILITY MODEL
 UNIDAD TEMÁTICA

AWS Identity and Access

Management (IAM)
 AWS IAM

Identity and Access Management (IAM)

• Especificar quién o qué puede acceder a los servicios y recursos en AWS
• Administrar de forma centralizada los permisos específicos
• Analizar el acceso para perfeccionar los permisos en todo AWS
• Otorga diferentes permisos a diferentes personas para diferentes recursos
• Es gratuito
 COMPONENTES AWS IAM

IAM User
• Es una persona que está definida en una cuenta de AWS
• Cada User tiene un nombre único
• Tiene un conjunto de credenciales de seguridad secretas
• Cada User se define en una y solo una cuenta de AWS
 COMPONENTES AWS IAM

IAM Group
• Es una colección de usuarios de IAM
• Se usan para simplificar la administración de permisos para varios usuarios
• Un usuario puede pertenecer a varios grupos
• No hay un grupo predeterminado que incluya a todos los usuarios de una cuenta AWS
 COMPONENTES AWS IAM

IAM Policy
• Es un documento que define permisos para determinar que pueden hacer los usuarios de AWS
• Otorga acceso a recursos específicos
• Especifica lo que el usuario puede hacer en estos recursos
• Una política puede denegar el acceso explícitamente
• Cuando hay conflicto entre diferentes políticas se aplica la más restrictiva
 COMPONENTES AWS IAM

IAM Role
• Es una herramienta para otorgar acceso temporal a recursos de AWS
• Se le adjuntan políticas con permisos específicos
 AWS IAM

Autentificación de un IAM User

• Acceso programado: El usuario debe presentar un ID de acceso y una clave de acceso secreta
cuando realice una llamada a una API
• Acceso por consola: El user deberá completar los los campos que aparecen en el inicio de sesión
 AWS IAM

Multi-Factor Authentication (MFA)

• Además de introducir las credenciales, se debe proporcionar un token de MFA
• AWS recomienda habilitar la opción MFA
AWS IAM
 AWS IAM

Principle of Least Privilige

• Promueve que otorgue solo los privilegios de usuario mínimos necesarios
• Todas las acciones de la cuenta se niegan al usuario de manera predeterminada
• La configuración de IAM es global, se aplica en todas las regiones de AWS
 SEGURIDAD EN NUEVAS CUENTAS

AWS Account Root User

• Cuando se crea por primera vez una cuenta de AWS se comienza con una única identidad de
inicio de sesión
• Tiene acceso completo a todos los servicios y recursos de la cuenta AWS
• AWS recomienda activar MFA para el usuario raíz
• Hay tareas que solo puede realizar el usuario raíz
• Cambiar la configuración de la cuenta
• Cerrar la cuenta de AWS
• Restaurar los permisos de usuario de IAM en caso de eliminación accidental
• Active el acceso de IAM a la consola de Billing and Cost Management.
 SEGURIDAD EN NUEVAS CUENTAS

Account Root User Vs IAM User

• No usar el usuario raíz en las tareas cotidianas, ni siquiera en las tareas administrativas
• AWS recomienda crear un IAM User y asignar permisos para las tareas diarias
 AWS CLOUDTRAIL

AWS CloudTrail
• Es un servicio que registra todas las solicitudes de API a los recursos de la cuenta AWS
• Permite auditorías de operaciones y riesgos de su cuenta de AWS
• Está habilitado de forma predeterminada en todas las cuentas
• Mantiene un registro de los últimos 90 días de actividad
• Se pueden habilitar alertas cada vez que ocurran eventos específicos
AWS CLOUDTRAIL
AWS CLOUDTRAIL
 AWS CLOUDWATCH

AWS CloudWatch
• Es un servicio de monitoreo creado para desarrolladores
• Consiste en un monitoreo en tiempo real de todos los servicios y aplicaciones
• Se usa para recopilar y analizar métricas de los servicios y aplicaciones
• Se pueden crear alarmas en los cargos de las facturas de AWS
 AWS CLOUDWATCH

AWS CloudWatch
• CloudWatch Events: Percibe los cambios en los servicios en tiempo real y toma medidas
correctivas (enviar mensajes, activar funciones, capturando información de estado...)
• CloudWatch Alarms: Se crean alarmas como resultado del valor de una métrica
AWS CLOUDWATCH
 UNIDAD TEMÁTICA

Servicios de Seguridad en AWS

 SERVICIOS DE SEGURIDAD

Encryption of data at rest

• Datos en reposo: Son los datos que se almacenan en un disco
• Encriptación de datos: Se toman datos que son legibles y se codifican para que no tengan acceso
los que no tengan acceso a la clave para descodificarlos
 SERVICIOS DE SEGURIDAD

Encryption of data in transit

• Datos en tránsito: Son los datos que se mueven a través de la red
• Tráfico HTPPS: Está protegido contra escuchas ilegales y ataques de intermediarios debido al
cifrado bidireccional
• Certificados SSL o TLS: Se usan para proteger las comunicaciones de red y establecer identidad
de los sitios web de internet
• AWS Certificated Managed: Es un servicio que permite aprovisionar certificados SSL o TSL para
usarlo en los servicios AWS o en los recursos asociados
 SERVICIOS DE SEGURIDAD

AWS Key Management Service (KMS)

• Permite crear y administrar claves de cifrado para los servicios de AWS
• Se integra con CloudTrail para obtener registros de todos los usos de las claves
 SERVICIOS DE SEGURIDAD

AWS Hardware Security Modules (HSM)

• CloudHSM es un producto de módulo de seguridad de hardware dedicado
• Es un dispositivo informático que procesa las operaciones criptográficas y proporciona un
almacenamiento seguro de las claves criptográficas
• Las claves de cifrado están subordinadas a requisitos normativos o corporativos
 SERVICIOS DE SEGURIDAD

Amazon Cognito
• Proporciona soluciones para controlar el acceso a los recursos de AWS desde un aplicación
 SERVICIOS DE SEGURIDAD

AWS Shield
• Es un servicio de protección contra ataques distribuidos de denegación de servicio (DdoS)
• Es un tipo de ciberataque que intenta hacer que un sitio web o recurso de red no esté
disponible colapsándolo con tráfico malintencionado para que no pueda funcionar correctamente
• Protege de todos los tipos de ataques DdoS (infraestructura, capa aplicación...)
 SERVICIOS DE SEGURIDAD

AWS Shield
• Standard: Se habilita en todas las cuentas sin costo adicional
• Advanced: Proporciona protecciones adicionales contra ataques más sofisticados y de mayor
tamaño. Es un servicio de pago disponible para Business y Enterprise Support
 AWS WEB APPLICATION FIREWALL

AWS WAF
• Es un firewall para aplicaciones web
• Ayuda a proteger aplicaciones web contra ataques al permitirle configurar reglas
 SERVICIOS DE SEGURIDAD

Amazon Macie
• Es un servicio de seguridad de datos que detecta datos confidenciales
• Proporciona visibilidad de los riesgos de seguridad y permite automatizar la protección
• Detecta los datos mediante machine learning y la concordancia de patrones
 SERVICIOS DE SEGURIDAD

Amazon Inspector
• Es un servicio de administración automatizada de vulnerabilidades
• Analiza continuamente las cargas de trabajo de AWS en busca de vulnerabilidades de software
• Detecta la exposición involuntaria a la red
 SERVICIOS DE SEGURIDAD

Amazon GuardDuty
• Es un servicio de detección de amenazas
• Supervisa de manera continua las cargas de trabajo y cuentas de AWS
• Detecta actividades maliciosas
• Envía hallazgos detallados de seguridad para su visibilidad y resolución
 SERVICIOS DE SEGURIDAD

Security S3 Buckets and objects

• Block public access: Evita que los datos sean de uso publico
• IAM Policy: Especifica los usuarios o roles que pueden acceder a un bucket
• Bucket policy: Otorga acceso a través de las cuentas de AWS
• Baccess control list (ACL): Anteriores a IAM. Se crean listas con usuarios permitidos
• AWS Trusted Advisor: Indica que buckets tienen permisos globales
SERVICIOS DE SEGURIDAD
SERVICIOS DE SEGURIDAD
SERVICIOS DE SEGURIDAD
 AWS CONFIG

AWS Config
• Es un servicio que le permite evaluar las configuraciones de los recursos de AWS
• Registra las configuraciones
• Automatiza la evaluación de las configuraciones deseadas con las reales
• Simplifica la auditoria de cumplimiento, el análisis de seguridad y la resolución de problemas
• Es un servicio regional
 AWS COMPLIANCE PROGRAMS

AWS Compliance Programs

• AWS colabora con organismos de certificación para proporcionar a los clientes información
sobre los procesos y controles que AWS establece
• Objetivos de cumplimiento en diferentes ámbitos
• ISO 27001:2013: Sistema de gestión de Seguridad de información
• HIPAA: La norma de confidencialidad de la Ley de Portabilidad y Responsabilidad de
Seguros Médicos
• RGPD: Reglamento general de protección de datos
 AWS COMPLIANCE PROGRAMS

AWS Artifact
• Proporciona descargar a pedido los documentos de cumplimiento y seguridad de AWS
• Demuestran a los reguladores del el cumplimiento de la infraestructura y los servicios
• El cliente es el responsable de demostrar el cumplimiento de su aplicación
SERVICIOS DE SEGURIDAD