Seguridad y conformidad I

Martes 28 de febrero 2023

FrontEnd Developer - AWS re/Start Instructor
4 x AWS
AWS re/Start Instructor
AWS Certified Developer
AWS Certified Solutions Architect
AWS Certified Cloud Practitioner
Actividades:
Miembro organizador en AWS Girls Perú
Voluntaria y speaker en AWS Girls CL
Creadora del blog alfalfita.cloud

@dianaalfarobazan Mis redes

Agenda
Modelo de responsabilidad compartida
AWS Artifact
Cifrado en tránsito/en reposo
AWS Documentation
Amazon CloudWatch
AWS CloudTrail
AWS Config
Concepto del menor privilegio
Modelo de responsabilidad
compartida
Cómo AWS hace su parte Seguridad DE la nube
AWS es responsable por proteger la infraestructura donde se
AWS ejecutan los servicios

Cómo ayudamos al cliente a hacer su parte Seguridad EN la nube

El Cliente es responsable por la seguridad de sus cargas de
Cliente trabajo en la nube

Más información
Tipos de servicios

Servicios de infraestructura

Servicios administrados / encapsulados

Servicios abstractos / serverless

Queremos montar una BD en la nube

1 2 3

Instalar la base Utilizar un Utilizar un

de datos en servicio servicio
una instancia administrado serverless como
EC2 como RDS DynamoDB
 Control de acceso
Crecimiento elástico
Instalar la base de Cifrado

datos en una
Respaldos de BD
Alta disponibilidad

instancia EC2 Escalabilidad

Gestión de la BD (parches)
Instalaciones para BD
Gestión del SO (parches, antimalware*)
Instalación del SO
Mantenimiento de Servidores - Hypervisor
Montaje en racks - red
Electricidad, enfriamento
Seguridad física – Procesos de seguridad
 Control de acceso
Crecimiento elástico
Utilizar un servicio Cifrado

administrado
Respaldos de BD
Operaciones Configuración
Alta disponibilidad

como RDS Escalabilidad

Gestión de la BD (parches)
Instalaciones para BD
Gestión del SO (parches, antimalware*)
Instalación del SO
Mantenimiento de Servidores - Hypervisor
Montaje en racks - red
Electricidad, enfriamento
Seguridad física – Procesos de seguridad
 Control de acceso
Crecimiento elástico
Utilizar un servicio Operaciones
Cifrado
Configuración

serverless como
Respaldos de BD
Alta disponibilidad

DynamoDB Escalabilidad
Gestión de la BD (parches)
Instalaciones para BD
Gestión del SO (parches, antimalware*)
Instalación del SO
Mantenimiento de Servidores - Hypervisor
Montaje en racks - red
Electricidad, enfriamento
Seguridad física – Procesos de seguridad
AWS Artifact
Proporciona descargas a pedido de documentos de AWS
seguridad y cumplimiento, como certificacionesAWS ISO,
informes del sector de tarjetas de pago (PCI) e informes de
control de la organización de servicios (SOC) de forma
gratuita

Se puede utilizar para apoyar la auditoría interna o el

cumplimiento
Cifrado de extremo a extremo: En Reposo

AWS KMS
AWS KMS: Control de acceso a las llaves
de cifrado

Las claves deben almacenarse en algún lugar

Cifrado de extremo a extremo: En Reposo

KMS AWS CloudHSM Soluciones de terceros

Integración con servicios de AWS Integración con servicios de AWS /

Integración limitada con servicios de AWS
estándares PKCS/JCE

Alta disponibilidad gestionada por AWS Alta disponibilidad configurable SaaS

Sin API para extracción de llaves Sin API para extracción de llaves AWS Marketplace
Llaves del servicio vs. llaves privadas
Llaves del servicio KMS
(AWS Managed) Customer Managed Keys

Llaves compartidas Llaves privadas

Rotación anual Rotación configurable

Control sobre las llaves: Deshabilitación y Eliminación

Control de acceso

Permite compartir entre cuentas

Cifrado en Tránsito
AWS Certificate Manager:
Public Certificates (gratis)
Private Certificates
AWS VPN
Site to site VPN
Client VPN
Todos los servicios que transfieren datos soportan cifrado en tránsito.
AWS Elastic Disaster Recovery
CloudEndure, DataSync, AWS Storage Gateway
Database Migration Services, Schema Convertion Tool
Workspaces, Workdocs
AWS Backups
AWS Certificate Manager: Cifrado en transito
Certificados públicos solicitados con ACM, o privados (CA generada con ACM)
Desplegada en Elastic Load Balancer
ACM administra la renovación y la implementación
AWS Certificate Manager: CA Privada
ACM Private CA es una CA privada totalmente administrada
Evita la complejidad de administrar una CA usted mismo
Funciona como una CA independiente o junto con ACM para el certificado root
Los certificados son de confianza dentro de su organización
AWS Documentation
Encuentre documentación técnica
para los servicios, SDK y kits de
herramientas de AWS, casos de
uso, escenarios y tareas.
Explore guías de usuario, guías
para desarrolladores, tutoriales y
referencias de API.

https://docs.aws.amazon.com/
Amazon CloudWatch
Es el servicio central de registros
y métricas de AWS. Cada servicio
de AWS se registra en CloudWatch.
La métrica es una variable para
monitorear (CPUUtilization,
NetworkIn...)
Las métricas tienen marcas de
tiempo
Puede crear paneles de
CloudWatch de métricas
Amazon CloudWatch: métricas importantes
Instancias EC2: CPU Utilization, Status Checks, Network (not RAM)
Métricas predeterminadas cada 5 minutos
Opción de Monitoreo Detallado: métricas cada 1 minuto ($$$)
Volúmenes de EBS: Disk Read/Writes
S3 buckets: BucketSizeBytes, NumberOfObjects, AllRequests
Facturación: Total Estimated Charge (only in us-east-1)
Limites de Servicio: cuánto has estado usando una API de servicio
Métricas personalizadas: poner sus propias métricas
Amazon CloudWatch: alarmas
Las alarmas se utilizan para activar notificaciones para cualquier métrica
Acciones:
Auto Scaling: aumente o disminuya el recuento "deseado" de instancias
EC2
Acciones EC2: detenga, finalice, reinicie o recupere una instancia EC2
Notificaciones SNS: envíe una notificación a un tema de SNS
Varias opciones (%, máx., mín., etc.)
Puede elegir el período en el que evaluar una alarma
Ejemplo: crear una alarma de facturación en la métrica de facturación de
CloudWatch
Estados de alarma: OK, DATOS_INSUFICIENTES, ALARMA
Amazon CloudWatch: registros (logs)
Puede recopilar registros de:
Elastic Beanstalk: recopilación de registros de la aplicación
ECS: recopilación de contenedores
AWS Lambda: recopilación de registros de funciones
CloudTrail basado en filtro
Agentes de registro de CloudWatch: en máquinas EC2 o servidores
locales
Route53 : Consultas DNS de registros
Permite el monitoreo en tiempo real de los registros
Retención ajustable de CloudWatch Logs
Registros (logs) para EC2
De forma predeterminada, ningún
registro de su instancia de EC2 irá
a CloudWatch.
Debe ejecutar un agente de
CloudWatch en EC2 para enviar los
archivos de registro que desee.
Asegúrese de que los permisos de
IAM sean correctos
El agente de registro de CloudWatch
también se puede configurar en
las instalaciones (on-premises)
Amazon Eventbridge
“Es la versión 2 de Amazon CloudWatch
Events”
Facilita la creación de aplicaciones
basadas en eventos a escala mediante
eventos generados
Puede configurar reglas de enrutamiento
para determinar a dónde enviar los datos
Cuenta con un bus de evento por defecto
(en CloudWatch Events tiene solo un bus)
Puede tener buses de eventos
adicionales
AWS CloudTrail
AWS CloudTrail
Puede identificar rápidamente los últimos cambios realizados en los
recursos de su entorno incluida la creación, modificación y eliminación de
recursos de AWS, como:
Inicio o terminación de Instancias.
Cambios de usuarios y grupos de seguridad entre muchos otros eventos.

Se produce una CloudTrail captura y Puedes ver la actividad

actividad escribe el evento y el historial
en el registro
AWS Config
Inventario, monitoreo y notificación de cambios de configuración

Ej.: Puertos abiertos, EBS sin cifrar, Uso de AMIs no aprobadas, MFA no habilitado
AWS Config
Monitoreo continuo
Evaluación continua
Administración de cambios
Solución de problemas
operativos
Detección
Auditoría y conformidad
continuas
Concepto del menor privilegio

No otorgar más permisos de los que necesita un usuario

AWS IAM
 Gracias
AWS Girls Perú AWS Girls Perú @awsgirlsperu