Actualmente la seguridad de la información es prioridad para las organizaciones de todo el mundo. Ya sea por cumplimiento o regulaciones, por protección de su negocio o con objetivos de mantener su reputación, las organizaciones buscan adoptar un enfoque de seguridad integral para sus aplicaciones e infraestructura tecnológica.
Cuando se analiza la seguridad en la nube, es de suma importancia comprender que algunas áreas serán más críticas que otras y, por ende, requerirán una atención prioritaria. Con una estrategia adecuada, las organizaciones pueden maximizar la efectividad de sus esfuerzos y recursos, y así asegurar una postura de seguridad robusta para sus entornos Cloud.
En el contexto de la nube pública de Amazon Web Services (AWS), existe una guía que proporciona un marco sólido para poder diseñar, implementar y evaluar arquitecturas que sean eficientes y, sobre todo, seguras. Este es el AWS Well-Architected Framework.
El marco de trabajo considera cinco áreas que son fundamentales para el diseño e implementación de cualquier arquitectura en la nube.
- Seguridad, que tiene por objetivo proteger los sistemas, activos y la información que ellos contienen.
- Fiabilidad, enfocado en garantizar la capacidad de recuperación de los sistemas, para así cumplir con las necesidades de los clientes y de la organización.
- Eficiencia de costos, donde se busca optimizar los recursos para no exceder presupuestos y cumplir de igual manera los requisitos comerciales de los sistemas.
- Rendimiento, asociado también a la eficiencia, aunque desde el punto de vista operacional, con el que se busca que los sistemas tengan la capacidad de respuesta necesaria.
- Operabilidad, para poder respaldar los objetivos técnicos y comerciales de los recursos informáticos, y garantizar su operación y monitoreo efectivos.
Particularmente, en este artículo, nos enfocaremos en describir en líneas generales cuáles son los principales aspectos a considerar en materia de seguridad.
Seguridad en AWS Well-Architected Framework
La estrategia propuesta por el marco de trabajo considera cuatro (4) áreas críticas que se deben abordar. Enfocándose en estas áreas, las organizaciones que utilizan AWS pueden fortalecer su postura de seguridad y mitigar de manera eficaz los riesgos existentes y los potenciales que podrían aparecer. A continuación, se da una breve descripción de los aspectos fundamentales de estas áreas.
1. Gestión de identidades y acceso
El framework insta a la correcta gestión de los permisos y accesos para así garantizar el acceso a los recursos e información solo a las personas autorizadas, sobre todo cuando se gestionan datos sensibles. La recomendación de implementar una gestión de claves robustas, una activación y utilización de autenticación de múltiple factor (MFA) y políticas de acceso granular, siguiendo el principio del mínimo privilegio, son fundamentales para evitar accesos no autorizados y proteger la integridad de los datos.
2. Detección y respuesta ante incidentes
AWS Well-Architected Framework propone, como medida crucial para identificar y mitigar las potenciales amenazas, la implementación de mecanismos de detección y respuesta a incidentes que sean efectivos. Con esto, se recomienda la implementación de estrategias de procesos automatizados, alertas y monitoreo en tiempo real, así como también contar con planes de respuesta a incidentes que sean probados, con pasos claros y prácticos. Con las medidas adecuadas, se busca minimizar el posible impacto que podría causar cualquier brecha de seguridad y así asegurar la integridad de los sistemas.
3. Protección de datos
El aseguramiento de los datos y la información en la nube es fundamental, tanto la confidencialidad como la integridad de estos y, en este sentido, el framework recomienda lo siguiente:
- Utilizar técnicas y estrategias de cifrado de los datos, ya sea para la información en reposo como en tránsito.
- Garantizar la correcta segmentación de redes por donde dichos datos viajan.
- Contar con políticas de gestión y clasificación de datos que sean claras y coherentes.
Complementariamente, se recomienda la ejecución de ejercicios que permitan evaluar las posibles vulnerabilidades de los sistemas en la nube, para identificar puntos débiles y así poder corregir o mitigar de manera temprana.
4. Gestión de riesgos y cumplimiento
El marco de trabajo recomienda realizar actividades proactivas de evaluación y gestión de riesgos de seguridad, para así contar con una postura sólida sobre la materia en los recursos disponibles en la nube. Considera entonces, la realización de evaluaciones de riesgos de manera regular, la identificación de posibles amenazas y vulnerabilidades, además de dirigir los esfuerzos en implementar los controles de seguridad necesarios para mitigar dichos riesgos. En caso de que la industria donde opera la organización lo requiera (por ejemplo, la banca o la salud), debe existir un aseguramiento del cumplimiento de las regulaciones que sean relevantes. Esto implica la implementación de medidas específicas y adaptadas que se deben cumplir, además del debido seguimiento con auditorías regulares que verifiquen la conformidad.
Servicios de AWS y el Well-Architected Framework
En el contexto de Amazon Web Services (AWS), las organizaciones pueden utilizar y aprovechar los servicios y herramientas disponibles para poder, desde un principio, contar con todos los recursos necesarios que les permitan mantener una postura sólida en seguridad y mantenerla en el tiempo. Nombraremos algunos casos de uso y algunos de los múltiples servicios asociados, considerando que cada una de las áreas del Well-Architected Framework pueden ser gestionadas con uno o una combinación de servicios, así como distintas arquitecturas de seguridad en su implementación.
Para la gestión de identidades y acceso, el servicio de Identity and Access Management (IAM) permite una configuración, mediante políticas de control de acceso, y una suficiente granularidad en los permisos para las distintas acciones de los servicios, como la lectura o escritura de datos, así como también la ejecución de procesos asociados a dichos servicios.
Para el caso de la detección de repuesta a incidentes, AWS cuenta con servicios para el monitoreo y gestión de alertas (por ejemplo, Amazon CloudWatch), así como también para la gestión automatizada de la respuesta ante los incidentes (con servicios como Amazon EventBridge y el uso de servicios serverless como Amazon Lambda).
En la protección de datos, Amazon Web Services cuenta con servicios para el cifrado simétrico y asimétrico como Amazon Key Management Service (KMS) y para la gestión de certificados, como AWS Certificate Manager (ACM). Adicionalmente, existe una serie de servicios para la gestión de redes virtuales (Amazon VPC) que permiten la segmentación de redes, así como también la implementación de controles de acceso a nivel de redes y componentes complementarios como firewalls y herramientas de mitigación para ataques de denegación de servicios.
Dentro de la gestión de riesgos, existen servicios que permiten monitorear, evaluar y auditar las configuraciones de los servicios, así como sus cambios (por ejemplo AWS Config). También pueden realizar revisiones de seguridad automatizadas a ciertos recursos (Amazon Inspector) y ejecutar una detección inteligente de posibles amenazas (Amazon GuardDuty).
Las organizaciones pueden complementar las medidas a través de servicios especializados de seguridad ofensiva y de auditoría en los entornos de AWS. Se recomienda la ejecución de ejercicios de Red Team AWS, Purple Team AWS, Pentest de aplicaciones AWS, auditoría de infraestructuras en AWS, auditoría de gestión de identidades en AWS o incluso revisiones express de la infraestructura de sistemas en AWS.
Conclusión
El marco de AWS Well-Architected entrega un enfoque eficaz y con una estructura definida que permite abordar la seguridad en la nube de manera integral. Al identificar y priorizar las áreas críticas, las organizaciones que utilizan Amazon Web Services pueden fortalecer su postura de seguridad en AWS de una manera óptima en cuanto a inversión y esfuerzo.
Si su organización sigue las mejores prácticas recomendadas por AWS y cuenta con los servicios especializados en seguridad, puede enfrentar de una manera efectiva los riesgos tecnológicos y proteger sus activos en la nube.
Bibliografía
AWS. (s. f.). AWS Well-Architected. https://aws.amazon.com/architecture/well-architected/
AWS. (s. f.). AWS Security Best Practices. https://docs.aws.amazon.com/whitepapers/latest/aws-security-best-practices/introduction.html
