La seguridad es uno de los pilares fundamentales de la operativa de una compañía. Es un aspecto transversal y en el amplio sentido de la palabra, la seguridad protege de amenazas e incidentes a través de la prevención, la detección de riesgos y, de ser necesario, la reparación. 

Cambio de situación

No obstante, cabe destacar una serie de cambios derivados de la aparición de la nube pública, de la transformación digital y de la proliferación de los entornos de trabajo distribuidos. Muchos framework de seguridad ponen la barrera física de acceso como primer nivel, sin embargo en el contexto actual, gran parte de las comunicaciones laborales se realizan desde fuera de la oficina física, anulando por completo este primer nivel. Por no mencionar los dispositivos móviles o el IoT que ubica terminales en ocasiones físicamente accesibles.

Modelo de responsabilidad compartida

En el caso que nos atañe, los proveedores de nube pública han ido convergiendo a un modelo denominado “Modelo de responsabilidad compartida”, en el que dependiendo del grado de manejo de la infraestructura y software subyacente por cada parte, se particionan las responsabilidades

El siguiente gráfico muestra esta relación:

Fuente: Shared Responsibility for Cloud Security: What You Need to Know

Este gráfico nos recuerda que por el hecho de suscribir un acuerdo con un proveedor no podemos desentendernos completamente de la seguridad, pero además nos indica qué  tipo de tecnologías tienen una mayor gestión por cada parte.

Herramientas en AWS

Amazon Web Services posee una amplia serie de servicios orientados a la seguridad, agrupados en lo que denomina: Seguridad, Identidad y Cumplimiento. Vamos a describir someramente su objetivo funcional para ver el alcance y conocer aquellos que pueden facilitarnos la labor a la hora de migrar cargas de trabajo a la nube, en condiciones de seguridad.

Servicios relacionados con la gestión de identidades y roles

  • AWS Identity and Access Management (IAM)
    Este servicio aglutina los grupos, usuarios, roles y políticas que median en el acceso a recursos y otros servicios. Es la base de la gestión de identidades en Amazon Web Services.
  • AWS Single Sign-On
    Este servicio nos permite establecer un portal de acceso único con single sign-on (SSO) a varias cuentas de AWS pertenecientes a una misma organización.
  • Amazon Cognito
    A través de Cognito podemos abstraer y delegar la seguridad de acceso a nuestras aplicaciones de una forma sencilla y eficiente en costes. Incluye funcionalidades como MFA, validación por email o SMS, gestión de usuarios.
  • AWS Directory Service
    Si necesitamos un servicio de directorio activo, podemos obtenerlo a través de este servicio gestionado por Amazon. También es requisito para el uso de los espacios de AWS Workspaces.

Servicios relacionados con la seguridad de redes

  • AWS Shield
    Protección contra ataques de Denegación de servicio (DDoS), por defecto habilitado en la CDN de AWS (Cloudfront) y bajo demanda en superficies públicas de nuestra infraestructura como balanceadores de carga o instancias EC2 que tengan exposición pública.
  • AWS WAF
    Firewall por software basado en reglas que filtra los ataques maliciosos a través de la red como por ejemplo inyección de SQL, … se puede configurar fácilmente para que proteja nuestra app con las reglas habituales de OWASP 10.
  • AWS Network Firewall
    Este servicio nos permite configurar un firewall de red en nuestra VPC, se trata de un servicio gestionado por Amazon, que se encarga de su escalabilidad y funcionamiento.
  • AWS Firewall Manager
    Este servicio más avanzado permite contar con un firewall centralizado cuyas reglas apliquen a todas nuestras aplicaciones, además de contar integración con los principales proveedores de software de seguridad, permitiendo integrar reglas de servidores de seguridad como Fortinet.

Servicios SIEM (Security information and event management)

  • Amazon Detective
    Este servicio nos permite investigar el origen de diversos fallos de seguridad en nuestras cuentas. El potencial de este servicio es la capacidad de recopilar datos de la infraestructura de Amazon y ponerlos a disposición junto con las herramientas para realizar ETL y de esta forma lograr heurísticas que nos conduzcan al origen de los incidentes de seguridad.
  • Amazon GuardDuty
    Este servicio de monitorización escanea nuestra infraestructura en busca de amenazas, permitiendo centralizar a través de cloudwatch eventos desde diferentes cuentas y flujos de trabajo.
  • Amazon Inspector
    Este servicio busca vulnerabilidades en nuestras instancias y en el software de nuestras aplicaciones desplegadas en AWS.
  • AWS Audit Manager
    Este servicio informa y completa la visión que obtenemos acerca del resultado de nuestras políticas internas en el uso de la cuenta de AWS. De esta forma, evitamos revisar múltiples servicios y podemos auditar el uso de la cuenta.
  • AWS Resource Access Manager
    A través de este servicio, podemos regular cómo compartir recursos de AWS entre cuentas con accesos securizados y controlados.

Servicios relacionados con la seguridad del dato y la criptografía

  • AWS Key Management Service
    Este servicio nos permite gestionar claves para utilizar en el cifrado de datos a lo largo y ancho de los servicios de Amazon, desde cifrar discos duros hasta el contenido de bases de datos, mediando el acceso a las claves con permisos.
  • AWS Secrets Manager
    Rotate, manage, and retrieve secrets
  • AWS Certificate Manager
    Este servicio se orienta al aprovisionamiento, creación y gestión de certificados SSL/TLS como los utilizados en balanceadores de carga o servidores HTTPs.
  • AWS CloudHSM
    A  través del uso de Hardware específico, podemos almacenar claves de acuerdo con los estándares de seguridad más estrictos.
  • Amazon Macie
    Este servicio utiliza técnicas de Machine Learning para rastrear la información de nuestros buckets en busca de datos personales. Al tratarse de un sistema completamente gestionado, se escoge una serie de objetivos, una periodicidad y emite regularmente un informe con la criticidad de los datos existentes.

Servicios relacionados con el cumplimiento normativo

  • AWS Security Hub
    En esta sección de la consola de AWS contamos con una visualización centralizada de la seguridad  y el grado de cumplimiento con los estándares. Desde aquí podremos ver los resultados de los servicios anteriormente mencionados de un vistazo.
  • AWS Artifact
    Este repositorio conserva los documentos de cumplimiento accesibles, así como los que están firmados o disponibilizados por AWS.

Quizás podríamos debatir ampliamente esta clasificación, reorganizar según otros criterios, e incluso añadir algún servicio más relacionado con la gobernanza de la plataforma, que no deja de ser un aspecto en sí de la seguridad; pero se trata de agrupar funcionalmente los servicios que AWS cataloga en el ámbito de la seguridad, identidad y cumplimiento y ayudar a su difusión y conocimiento.

Estándares y certificaciones

Existen varias organizaciones globales dedicadas a velar por la seguridad en la nube y en los sistemas digitales (cloudsecurityalliance.org o cisecurity.org), y existen normativas de obligado cumplimiento (HIPAA, PCI-DSS, GDPR) que muestran la preocupación por parte de gobiernos e instituciones en esta dirección. AWS se encarga de que en lo referente a sus servicios cumplan las directrices de dichos estándares y proporciona documentación para que aplicando correctamente sus tecnologías, nuestras soluciones puedan cumplir esos mismos criterios de calidad y seguridad.

Usos realistas y buenas prácticas

Al final del día, estaremos utilizando IAM para todo lo relativo a los permisos, habremos configurado Guarduty y tal vez revisado Security Hub. Quizás incluso tengamos varias aplicaciones con Cognito y el acceso a las cuentas de nuestra Landing Zone mediado a través de AWS SSO con sus roles y grupos, pero lo que va a aportarnos mayor tranquilidad es automatizar las respuestas con lambdas que respondan a los eventos de seguridad de Security Hub, aplicar el principio de Less Privileged Role, salvar las contraseñas en Secret Manager y utilizar roles delegados en la medida de lo posible. Un aliado muy importante para esta tarea puede ser realizar un Well-Architected Review que nos obligue a pasar punto por punto por una auditoría que tiene como uno de sus pilares la seguridad.

Futuro de la seguridad y Machine Learning

Como comentábamos al comienzo, actualmente la seguridad está experimentando un auge muy importante, las fugas/robos de información y los incidentes de seguridad copan los medios de comunicación y generan daños a la imagen y credibilidad de las empresas. Una sociedad más distribuida tiene mayores superficies de ataque que deben ser revisadas constantemente. Y como toda tarea constante y automática, encontramos en él las técnicas de Machine Learning un complemento ideal. En el caso particular de AWS podemos observar cómo AWS Macie aplica técnicas de Inteligencia Artificial para detectar la sensibilidad de los datos, pero también existen modelos cognitivos que ayudan a detectar patrones de tráfico no legítimo y adelantar los preparativos.