Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Día 1
• Índice
1. Introducción al curso
2. Introducción a AWS
3. Modelo de responsabilidad compartida
4. Guías de configuración segura en AWS
5. Seguridad en la nube de AWS
6. AWS IAM
7. Amazon EC2
•
Introducción al curso
• Introducción al curso
Día 1 Día 2 Día 3 Día 4
Monitorización de los
Introducción ENS Amazon VPC Prowler
recursos en AWS
Explotación - Inventario y Resumen y cierre de
Introducción al curso Contenedores en AWS protección de claves KMS y la formación
ENS
Controles de seguridad en
Introducción a AWS Serverless y AWS Lambda AWS
Modelo de responsabilidad Detección de amenazas y
Almacenamiento en AWS vulnerabilidades
compartida
Guías de configuración Protección de la información
Bases de datos en AWS
segura en AWS
Seguridad en la nube de Protección de los servicios
Cifrado en AWS
AWS
AWS IAM
Amazon EC2
• Objetivos
Conocimientos Conocimientos
técnicos básicos cloud
Cuenta en
AWS
•
Introducción a AWS
• Introducción a AWS
Inmensa
arquitectura
• Categorías AWS
• Beneficios de AWS
Los seis beneficios de la computación en la nube:
Presencia
Escalabilidad
global
• Regiones
Para elegir la región adecuada hay que tener en cuenta cuatro aspectos principales:
1. Latencia.
2. Precio.
3. Disponibilidad del servicio.
4. Conformidad con los datos.
Para consultar la disponibilidad del servicio por región AWS pone a disposición la siguiente URL:
https://aws.amazon.com/es/about-aws/global-infrastructure/regional-product-services/
• Zonas de disponibilidad
Zonas Centro de
Regiones Clústeres de Disponib.
Clústeres de datos
• Alcance de los servicios de AWS
• Cada servicio se implementa en una ZD, Región o global.
• AWS aumenta la durabilidad y disponibilidad automáticamente en servicios regionales
• Si indicamos ZD, nosotros somos responsables de la durabilidad y la disponibilidad
{
"Reservations": []
}
• Kits de desarrollo de software (SDK) de AWS
Este es un ejemplo de código que puedes implementar para trabajar con los recursos de AWS
utilizando el AWS SDK de Python.
import boto3
client = boto3.client('ec2')
print(client.describe_account_attributes())
print(client.describe_instances())
• SDK VS CLI
ofrecer Platform & Application Management Client Side Data Encryption & Network Traffic Protection
“La forma en la
Data Integrity Authentication Encryption / Integrity / Identity Optional –
Customer IAM
adicionalment Opaque Data:
Customer IAM
Server Side Encryption Provided By The Platform
Firewall Configuration
0s and 1s (In
Protection of Data at Rest
Operating System, Network & Firewall Configuration Network Traffic Protection Provided By The Platform
ayudarles a
AWS IAM
cumplimiento cumplir con el Client Side Data Server Side
Encryption
Network Traffic
Protection
Platform & Application Management
Platform & Application Management
Encryption & Data
del modelo de
responsabilidad Foundation
Services
Compute Storage
Database
s
Networking Foundation
Services
Compute Storage
Database
s
Networking Foundation
Services
Compute Storage
Database
s
Networking
AWS Endpoints
AWS IAM
AWS IAM
AWS Endpoints
AWS Endpoints
compartida” Nivel Alto
AWS Global Regions
Availability Edge AWS Global Availability Edge AWS Global Edge
Zones Locations Regions Regions
Availability
Infrastructure
Zones Locations
Infrastructure Infrastructure
Zones
Locations
Servicios abstractos Servicios que requieren muy poca AWS opera la capa de
gestión por parte del cliente, como infraestructura, el sistema
Amazon Simple Storage Service operativo y las plataformas,
(Amazon S3) así como el cifrado y la
protección de datos del lado
del servidor.
• ¿De qué es responsable el cliente?
• Responsable de la configuración segura de sus servicios.
• Elegir una región para los recursos de AWS de acuerdo con las normas de soberanía de datos.
• Utilizar el control de acceso para limitar quién tiene acceso a sus datos y recursos de AWS.
• ¿De qué es responsable el cliente?
Categoría Responsabilidad de AWS Responsabilidad del Cliente
Servicios de AWS gestiona la infraestructura y los Controla el sistema operativo y la
Infraestructura servicios básicos. plataforma de aplicaciones, así
como el cifrado, la protección y la
gestión de los datos de los clientes.
Servicio de AWS gestiona la infraestructura y los Es responsable de los datos de los
almacenamiento servicios básicos, el sistema clientes, de cifrarlos y de
operativo y la plataforma de protegerlos mediante cortafuegos
aplicaciones. de red y copias de seguridad.
Servicios AWS opera la capa de Es responsable de la gestión de los
abstractos infraestructura, el sistema operativo datos de los clientes y de su
y las plataformas, así como el protección mediante el cifrado del
cifrado y la protección de datos del lado del cliente.
lado del servidor.
• Todo se resume en:
Base de Seguridad en
Trazabilidad
identidad capas
Protección Gestión de
Automatización
datos eventos
• Guía CCN-STIC-887
• Ayuda a cumplir con los requisitos del ENS con AWS
• Muchas recomendaciones se validan automáticamente
• Modelo de seguridad compartida
• Controles del ENS
• Marco Operacional
• Control de acceso
• Explotación
• Continuidad del servicio
• Monitorización del sistema
• Medidas de Protección
• Protección de las comunicaciones
• Protección de la información
• Protección de los servicios
• Controles del ENS
• Marco Operacional
• Control de acceso
• Explotación
• Continuidad del servicio
• Monitorización del sistema
• Medidas de Protección
• Protección de las comunicaciones
• Protección de la información
• Protección de los servicios
• ¿Qué es Prowler?
• Guía de configuración segura de
conectividad híbrida en AWS
El objetivo de la guía es documentar las recomendaciones de seguridad de la conectividad para
entornos híbridos que aprovechan los servicios de AWS como extensión de sus centros de datos físicos
• Guía de configuración segura de
conectividad híbrida en AWS
• Controles del ENS en la guía 887C
Marco Operacional
1. Control de acceso
a) Identificación
b) Requisitos de acceso
c) Autenticación túneles VPN
d) Segregación de funciones y tareas
2. Explotación
a) Generar un inventario de activos de VPN
b) Registro actividad usuarios
3. Continuidad del servicio
a) Obtención alta disponibilidad
4. Monitorización del sistema
a) Buenas prácticas
Medidas de Protección
1. Protección de las comunicaciones
a) Cómo proteger la confidencialidad
• Guía de configuración segura Multi-
Cuenta AWS
1. Facturación diferenciada
2. Control costes
3. Definición de diferentes perímetros
• Controles del ENS en la guía 887D
Marco Operacional
1. Control de acceso
a) Identificación
b) Requisitos de acceso
c) Delegación de cuentas
d) Segregación de funciones y tareas
2. Explotación
a) Generar un inventario de activos en varias
cuentas
b) Registro actividad usuarios en diferentes
cuentas
3. Monitorización del sistema
a) Cómo detectar una intrusión en diferentes
cuentas
• Guía de configuración segura
Amazon WorkSpaces
1. Simplificación del escritorio
2. Seguridad de los datos
3. Administración y escalabilidad
• Controles del ENS en la guía 887E
Marco Operacional
1. Control de acceso
a) Identificación en workspaces
b) Requisitos de acceso con IAM
2. Explotación
a) Buenas prácticas etiquetado
b) Configuración de seguridad
c) Registro de actividad de usuarios
3. Continuidad del servicio
a) Arquitecturas para resistencia al fallo
4. Monitorización del sistema
a) Medición de métricas
Medidas de Protección
1. Protección de las comunicaciones
a) Cómo conectarse a workspaces
2. Protección de la información
a) Manejo de claves
• Guía de respuesta a incidentes de
seguridad en AWS
• AWS administra la seguridad de la nube.
• El usuario es responsable de la seguridad en la nube.
• Controles del ENS en la guía 887F
Marco Operacional
1. Monitorización del sistema
a) Detección de intrusión
b) Métricas
c) Respuesta basada en eventos
d) Post-Indicente
• Guía de configuración segura para
monitorización y gestión AWS 887G
• Controles del ENS en la guía 887G
Marco Operacional
1. Control de Acceso
2. Explotación
3. Monitorización del sistema
Medidas de protección
4. Protección de la información
• Descanso
•
No compartir nunca la contraseña del usuario root ni las claves de acceso con nadie.
AWS IAM
• ¿Qué es el IAM?
• Características de IAM
Establece
Global Integrado políticas de
contraseñas
Federación
Soporte
de Gratuito
MFA
identidades
• ¿Qué es un usuario IAM?
• Credenciales de usuario IAM
Un usuario IAM consta de un nombre y un conjunto de credenciales. Al crear un usuario, se
puede optar por proporcionarle:
• Un nuevo desarrollador se une a la cuenta de AWS para ayudar con la aplicación. Simplemente con
crear un nuevo usuario y añadirlo al grupo de desarrolladores sería suficiente, sin tener que pensar
qué permisos necesita.
"Resource":
Especifica el objeto u objetos que
Resource "arn:aws:iam::account-ID-without-
cubre la declaración ✔
hyphens:user/Bob"
• ¿Qué es un rol IAM?
• Buenas prácticas IAM
• Bloquear el usuario raíz de AWS
Amazon EC2
• ¿Qué es Amazon EC2?
• ¿Qué es un AMI?
• ¿Cuál es la relación entre las AMI y las
instancias EC2?
• ¿Cuál es la relación entre las AMI y las
instancias EC2?
• Ciclo de vida de las instancias de Amazon
EC2
• Amazon Elastic Load Balancing (ELB)
• Características de ELB
Alta Escala
Equilibra carga
disponibilidad automáticamente
• Comprobaciones de estado
• Componentes ELB
• Amazon EC2 Auto Scaling
2 tipos:
• Activo-pasivo (Escalado vertical)
• Activo-activo (Escalado horizontal)
• Escalado vertical
• + potencia de cálculo
• Mantiene recursos
• Solo durante estado de parada
Proceso ideal:
1. Detener instancia pasiva
2. Escalar o desescalar instancia pasiva
3. Iniciar instancia pasiva
4. Pasar a activa la instancia pasiva
5. Pasar a pasiva la instancia activa
6. Escalar o desescalar instancia pasiva
• Escalado vertical
Escalado tradicional
• Menor coste de arquitectura
• Mayor coste de operación en periodos valle
Escalado automático
• Mayor optimización en periodos pico y valle
• Mayor coste de arquitectura
• Configurar los componentes de auto escalado
de EC2
Grupo de
Plantilla de Política de
auto
lanzamiento escalado
escalado
• Plantilla de lanzamiento o configuración
Formas de creación de plantilla de lanzamiento manualmente (También se puede con EC2 Auto Scaling)
1. Utilizando una instancia EC2 existente (Todas las configuraciones ya están definidas).
2. A través de una plantilla existente.
3. Creando una plantilla desde cero.
Se permite el gestor de versiones, creando una nueva versión con mejoras en la plantilla de lanzamiento
• Grupo de auto escalado de EC2
• Grupo de auto escalado de EC2
• Garantizar la disponibilidad con EC2 Auto
Scaling
• Habilitar la automatización con políticas de
escalado
• Política de escalado simple
Se utiliza una alarma de CloudWatch y se especifica qué hacer cuando se activa
• Política de escalado por pasos
Las políticas de escalado por pasos responden a las alarmas adicionales incluso mientras
una actividad de escalado o de sustitución de la comprobación de estado está en curso.
• Política de escalado de seguimiento de
objetivos
Todo lo que se tiene que proporcionar es el valor objetivo a seguir y crea automáticamente
las alarmas de CloudWatch necesarias.
• Exigencias ENS
Guía 887A - op.acc.4.aws.sys.1
Guía 887A - op.exp.1.aws.sys.1
Guía 887A - op.exp.4.aws.sys.1
• Resumen
• El usuario raíz se debe proteger activando el MFA y eliminando las credenciales de acceso si no las utilizamos
• Las políticas IAM (JSON) solicitan un Efecto, Objeto, Sid opcional, una Acción y una Condición opcional
• El usuario root es administrador, pero el usuario administrador no es root
• No podemos restringir acciones del usuario root, de ahí la importancia de securizarlo
• El sistema MFA se basa en algo que conoces (usuario y contraseña) y algo que tienes (app de MFA)
y/o algo que eres (biometría)
• No solo los roles y grupos se gestionan mediante IAM, también el MFA
• Los usuarios federados realizan acciones en AWS con roles IAM, por lo que no necesitan estar autenticándose
• Prácticas recomendadas
Tutoriales prácticos AWS:
https://aws.amazon.com/es/getting-started/hands-on/