AMAZON WEB

SERVICES (AWS) EN ENS

Día 3
• Índice

1. Monitorización en AWS
2. Controles de seguridad en AWS
3. Protección de Infraestructuras
4. Detección de amenazas y vulnerabilidades
5. Protección de datos
•

Monitorización en AWS
• Monitorización en AWS
• Ventajas de la monitorización

• Responder a los problemas operativos de forma proactiva antes de que los usuarios finales se den
cuenta de ellos.

• Mejorar el rendimiento y la confiabilidad de sus recursos.

• Reconocer amenazas y eventos de seguridad.

• Tomar decisiones basadas en datos para el negocio

• Cree soluciones más rentables

• Cloud Watch
• Desglose de métricas
• Métricas personalizadas
• Paneles de CloudWatch
• Registros de CloudWatch
• Terminología de CloudWatch

Evento de • Registro de la actividad capturada por la aplicación

o el recurso que se está monitoreando.
registro

Flujo de registro • Secuencias de eventos de registros

Grupo de • Son flujos de registros

registros
• Alarmas de CloudWatch
• AWS CloudTrail
• Eventos de CloudTrail
• Eventos de administración
Algunos ejemplos son:

• Configurar la seguridad (por ejemplo, las operaciones de la API AWS Identity and
Access Management AttachRolePolicy).

• Registro de dispositivos (por ejemplo, operaciones de la API CreateDefaultVpc de

Amazon EC2).

• Configurar reglas para el enrutamiento de datos (por ejemplo, las operaciones del
API CreateSubnet de Amazon EC2).

• Configuración de registros (por ejemplo, operaciones de la API AWS CloudTrail

CreateTrail).
• Eventos de datos
Algunos ejemplos:

• Actividad de la API a nivel de objeto de Amazon S3 en los buckets y en los objetos

de los buckets.

• Actividad de ejecución de funciones de AWS Lambda

• Actividad del API a nivel de objeto de Amazon DynamoDB en tablas

• Actividad del API a nivel de objeto de Amazon S3 en Outposts

• Llamadas JSON-RPC de Amazon Managed Blockchain en nodos de Ethereum,

como eth_getBalance o eth_getBlockByNumber

• Actividad API de puntos de acceso a objetos de Amazon S3, como las llamadas a
CompleteMultipartUpload y GetObject
• Eventos de CloudTrail Insights
Algunos ejemplos:

• La cuenta normalmente no registra más de 20 llamadas al API deleteBucket de

Amazon S3 por minuto, pero la cuenta comienza a registrar una media de 100
llamadas al API deleteBucket por minuto. Se registra un evento de Insights al inicio
de la actividad inusual y otro evento de Insights para marcar el final de la actividad
inusual.

• La cuenta suele registrar 20 llamadas por minuto a la API

AuthorizeSecurityGroupIngress de Amazon EC2, pero la cuenta empieza a registrar
cero llamadas a AuthorizeSecurityGroupIngress. Se registra un evento de Insights
al inicio de la actividad inusual, y diez minutos después, cuando la actividad
inusual termina, se registra otro evento de Insights para marcar el final de la
actividad inusual.
• Exigencias ENS
Guía 887A - op.acc.7.aws.iam.1
Guía 887A - op.exp.8.aws.trail.1
Guía 887A - op.exp.8.aws.trail.2
Guía 887A - op.exp.8.aws.trail.3
Guía 887A - op.exp.8.aws.trail.4
Guía 887A - op.exp.8.aws.trail.5
Guía 887A - op.exp.8.aws.trail.6
Guía 887A - op.exp.10.aws.trail.1
Guía 887A - op.exp.10.aws.trail.2
•

Controles de seguridad en AWS

• Controles de seguridad en AWS
1. ACLs de red y grupos de seguridad

2. VPC Endpoint Policies

3. AWS WAF

4. AWS Shield y Shield Advanced

5. AWS Firewall Manager

6. AWS Security Hub

7. Amazon GuardDuty
• VPC Endpoint Policies
•

Protección de Infraestructuras
• Protección de Infraestructuras
• AWS WAF
• Cómo funciona
• Reglas Administradas
• Grupos de reglas administradas
• AWS Shield
• AWS Shield Standard VS Advanced
• WAF vs Shield Standard
Capa 3/4 de protección
• Defensa automática y gratuita contra los ataques DDoS más
comunes de la capa de red y de transporte para cualquier
AWS Shield recurso de AWS, en cualquier región de AWS.
Standard • Defensa integral contra todos los ataques conocidos de la
capa de red y de transporte al utilizar Amazon CloudFront y
Amazon Route 53
• SYN Floods, UDP Floods, etc.

Protección de capa 7 disponible a través de AWS WAF

• Autoservicio y pago por uso
AWS WAF
• Lenguaje de reglas flexible
• AWS Firewall Manager
• AWS Firewall Manager
Integrado con AWS Organizations

• Organizations permite centralizar la gestión de cuentas

Monitoriza recursos nuevos

• Con el objetivo de cumplir con un conjunto de políticas de seguridad desde el

principio.
Integrado en las reglas WAF

• Facilita la implementación de reglas WAF

Aplica conjunto de reglas

• Para estancias Ec2 en VPC de Amazon

Ayuda a implementar puntos de enlace de AWS Network Firewall

• Para ayudar a controlar el tráfico en tránsito en la red

• ¿Cuál debo escoger?

AWS
WAF

AWS
SHIELD
AWS
FIREWALL
MANAGER
• AWS Network Firewall
• AWS Network Firewall
Servicio administrado

Fácil configuración

Motor de reglas flexible

Compatibilidad AWS Firewall

Manager
•

Detección de amenazas y
vulnerabilidades
• Detección de amenazas y vulnerabilidades
•
•
AWS Security Hub
Vista consolidada de problemas de seguridad
• Comprobaciones de seguridad automáticas y continuas
• Acciones de respuesta y corrección personalizadas
• Compatibilidad con varias cuentas y regiones
• Casos de uso AWS Security Hub
s
zgo Remediation
al la
Ha H Actions
lla
zgo
s
Ha
lla
zg
Hallazgos os
a l l a zgos
H

ad e
rid s d
gu eo
se e q u
Ch

Inv
es
tig
ac
ión
• Amazon GuardDuty
• Amazon GuardDuty

Independiente Inteligencia

Sin costes
Alertas
iniciales
• Hallazgos GuardDuty
Hallazgos

Reconocimiento Vulnerabilidades

Vulnerabilidad
de instancias

Vulnerabilidad
de cuentas

Vulnerabilidad
de buckets
• Amazon Inspector
• Beneficios Amazon Inspector
• Integrar las comprobaciones de seguridad automatizadas en los procesos de despliegue y
producción

• Encontrar problemas de seguridad en las aplicaciones

• Obtener un conocimiento más profundo de los recursos de AWS

• AWS Config
• Funcionamiento
• Descanso
•

Protección de los datos

• Protección de los datos
• Amazon Macie
Detección automatizada y personalizable de información sensible en los buckets de AWS S3
• Beneficios de Amazon Macie

Fácil de Compatibilidad
configurar nativa

Personalizable
• Amazon Macie y S3

Evaluación
continua
S3

Búsqueda
por
metadatos
• Amazon Macie VS GuardDuty
• AWS Secret Manager
• AWS Secret Manager
Credenciales Credenciales
de base de de recursos
datos locales

Credenciales
Claves de API
de apps SaaS

Otros datos
sensibles
• AWS Secret Manager
• Exigencias ENS
• Resumen
• Para comunicaciones entre VPC mediante endpoints podemos elegir entre Gateway
Endpoint e Interface Endpoint
• GuardDuty ayuda a detectar amenazas
• AWS Shield ayuda a detener ataques DDOS y DOS
• AWS WAF está orientado a capa 7 (aplicación)
• AWS Config ayuda a inventariar recursos en AWS
• Aunque AWS Inspector nos permite encontrar problemas de seguridad en instancias EC2, no
sustituye un análisis manual
• AWS Macie nos ayuda a encontrar problemas que ocurren dentro de S3, pero también AWS
GuardDuty
• Prácticas recomendadas
Tutoriales prácticos AWS: https://aws.amazon.com/es/getting-started/hands-on/

1. Añada y edite reglas del firewall:

https://aws.amazon.com/es/getting-started/hands-on/add-and-delete-firewall-rules/?trk=gs_card
• Q&A
Muchas
Gracias
E-mails Páginas web:
info@ccn-cert.cni.es www.ccn.cni.es
ccn@cni.es www.ccn-cert.cni.es oc.ccn.cni.es
sondas@ccn-cert.cni.es
redsara@ccn-cert.cni.es
organismo.certificacion@cni.es