2. Responsabilidad compartida
AWS Cliente
• Instalaciones
• Seguridad Física
• Infraestructura Física
• Infraestructura de Red
• Infraestructura de Virtualización
• Sistema Operativo
• Aplicación
• Reglas de Firewall (SG)
• Firewall del Sistema Operativo
• Configuración de Red
• Administración de cuentas
4. Certificaciones AWS
• Basadas en el modelo de responsabilidad compartida
• Ambiente AWS
– SOC 1 (SSAE 16 & ISAE 3204) Type II Audit (was SAS70)
– SOC 2 Audit
– SOC 3 Audit (Nuevo desde 2013)
– ISO 27001 (Certificación)
– Payment Card Industry Data Security Standard (PCI DSS) Level 1 Service Provider
– FedRAMP (FISMA), ITAR, FIPS 140-2
5. Certificación AWS
Clientes implementaron varias aplicaciones
certificadas:
– Sarbanes-Oxley (SOX)
– HIPAA (healthcare)
– FISMA (US Federal Government)
– DIACAP MAC III Sensitive IATO
6. Iniciativas Adicionales
• Cuestionario del “Cloud Security Alliance” (CSA)
– Respuesta en “Risk and Compliance Whitepaper”
• Motion Picture Association of America (MPAA)
– Mejores prácticas para almacenar, procesar y distribuir contenido.
7. Certificación ISO 27001
• ISO 27001/27002 certificación alcanzada 11/2010
• Sigue ISO 27002 guía de mejores prácticas
• Cubre el AWS “Information Security Management System” (ISMS)
• Cubre EC2, S3, VPC, EBS, RDS, DynamoDB, VM Import/Export, Direct
Connect, Storage Gateway, Glacier, EMR, Elastichache, Redshift e IAM
• Auditoría de 3 años; auditoría actualizada cada 12 meses.
• Incluye todas las regiones.
8. PCI DSS Level 1 Service Provider
• PCI DSS 2.0 compliant (Level 1 is >300,000 transactions/year)
• Inicialmente 4 servicios – ahora 14 servicios en el alcance
(Ago 2013):
– EC2, EBS, S3, VPC, RDS, ELB, IAM, Glacier, Direct Connect,
DynamoDB, SimpleDB, Elastic Map Reduce, and new in 2013:
CloudHSM, Redshift
• Certificada en todas las regiones AWS
• Ciclo de actualización es anual
10. Seguridad Física de los Datacenters
• Amazon ha construido datacenters de gran escala por muchos años
• Atributos importantes:
– Instalaciones / datacenters no divulgados públicamente
– Robustos controles de perímetro
– Estricto control de acceso físico
– 2 o mas niveles de autenticación “two-factor”
• Acceso altamente controlado (“need-basis”)
• Todo acceso es registrado y revisado
• Separación de papeles
– Empleados con acceso físico no poseen acceso lógico.
11. Gestión de configuración AWS
• La mayor parte de las actualizaciones son hechas de forma que no impacten al
usuario.
• Los cambios son autorizados, registrados, probados, aprobados y documentados.
• AWS comunicará vía email o a través del AWS Service Health Dashboard
(http://status.aws.amazon.com/) cuando exista una posibilidad de afectar a los
clientes.
Los clientes son responsables por el control de cambios en sus ambientes!
12. Seguridad en EC2
• Sistema Operativo del Host (debajo del hypervisor)
– Accesos individuales SSH con llave, usando Bastion Host para administradores AWS.
– Todo acceso es registrado y auditado.
• Guest (a.k.a. Instancia) Sistema Operativo
– Controlado por el cliente (credenciales root/administrator son del cliente)
– Administradores AWS no poseen credenciales de acceso.
– Par de llaves generadas y administradas por el cliente
• Firewall Stateful
– Firewall de entrada es obligatorio, por defecto todo acceso es negado (En VPC también existe firewall de
salida)
– El cliente controla la configuración de los firewalls a través de los Security Groups
• Signed API calls
– Es necesario usar certificado X.509 o las Secret Keys del usuario.
13. Cliente 1
Amazon EC2 Instance Isolation
Interfaces Físicas
Cliente 2 … Cliente n
Hypervisor
Interfaces Virtuales
…
Firewall
Cliente 1
Security Groups
Cliente 2
Security Groups
Cliente n
Security Groups
14. Descarte de dispositivos de almacenamiento
• Todo dispositivo de almacenamiento debe pasar
por este proceso.
• Técnicas utilizadas:
– DoD 5220.22-M (“National Industrial Security
Program Operating Manual”)
– NIST 800-88 (“Guidelines for Media Sanitation”)
• Finalmente
– Desmagnetización
– Destrucción física
15. Seguridad en el flujo de tráfico de red
• Security Groups (Reglas de Firewall)
• Tráfico de entrada necesita ser
explícitamente especificado por protocolo,
puerto y Security Group (SG)
• VPC agrega filtros de salida
• VPC también agrega “Network Access Control
Lists” (ACLs): filtros “stateless” de entrada y
salida.
• OS Firewall (e.g., iptables) también puede ser
implementado
• Capa de seguridad controlada por el
usuario
• Control de acceso granular para hosts
específicos
• Registro de eventos (log)
Encrypted
File System
Encrypted
Swap File
Inbound Traffic
OS Firewall
Amazon Security Groups
VPC Network ACL
16. Confidencialidad en el tráfico de red
Amazon EC2
Instancias
• Tráfico confidencial debería ser controlado con criptografía.
• Tráfico hacia la red corporativa, debería ser encapsulado dentro de túneles VPN.
Tráfico Internet
Red Corporativa
VPN
18. AWS está construida para “Disponibilidad continua”
• Servicios escalables y tolerantes a fallas
• Todos los datacenters están siempre activos (“always on”)
– No tenemos “Disaster Recovery Datacenter”
– Administrados bajo los mismo estándares
• Conectividad robusta con Internet
– Cada AZ posee proveedores de servicios (Tier 1) redundantes
– Infraestructura de red confiable
19. AWS Identity and Access Management
• Usuarios y Grupos dentro de las cuentas
• Credenciales únicas de seguridad
• Llaves de acceso
• Login/Password
• Dispositivo MFA opcional
• Políticas de control de acceso a las APIs AWS
• Altamente integrada con algunos servicios
• S3: Políticas sobre objetos y buckets
• Consola de administración AWS soporta log on de usuario
• No está pensado para Sistemas Operativos o aplicaciones
• Para esto, utilizar: LDAP, Active Directory/ADFS, etc...
20. Credenciales de seguridad temporales (sesiones)
• Credenciales de seguridad temporales, conteniendo:
Identidad para autenticación
Políticas de acceso para control de permisos
Expiración Configurable (1 – 36 horas)
• Soporta:
Identidades AWS (incluyendo usuarios IAM)
Federación de identidades (autentica usuarios de los clientes)
• Escala para millones de usuarios
– No necesita crear una identidad IAM para cada usuario.
• Casos de uso
Federación de identidad para la APIs AWS
Aplicaciones para dispositivos móviles o navegadores
Aplicaciones con usuarios ilimitados
23. Autenticación Multi-Fator AWS
• Ayuda a prevenir que personas con conocimiento de su login y contraseña tengan acceso suplantando su
identidad
• Protección adicional para la información de su cuenta
• Funciona con:
– Cuenta Master
– Usuarios IAM
• Integrado con:
– Consola de administración AWS
– Key pages en el Portal AWS
– S3 (Borrado con seguridad)
– Workspaces (NEW)
Una opción de seguridad altamente recomendada
24. Ejemplo de abordaje de seguridad Multi-capa
Capa Web
Capa de Aplicación
Capa de Base de datos
Únicamente puertos
80 y 443 abiertos a
internet
Staff de ingeniería tiene
acceso ssh a la capa de
aplicación que actúa
como un Bastión
Todos los otros puertos
de acceso de internet,
bloqueados por defecto
Amazon EC2
Security Group
Firewall
25. Amazon Virtual Private Cloud (VPC)
• Crear un ambiente aislado lógicamente en la infraestructura altamente escalable de Amazon.
• Especificar su rango de direccionamiento IP privado dentro de una o más subredes públicas o
privadas.
• Controlar el acceso de entrada y salida desde y hacia subredes individuales usando
“stateless” Network Access Control Lists
• Proteger sus instancias con filtros “stateful” de entrada y salida de tráfico usando Security
Groups
• Vincular una dirección IP Elástica (EIP) a cualquier instancia en su VPC para que ella sea
alcanzable directamente desde internet.
• Unir su VPC con su infraestructura de TI on-premises bajo estándares de la industria para
conexiones VPN IPSEC cifradas.
• Utilizar un wizard para fácilmente crear su VPC en 4 topologías diferentes.
27. VPC – Instancias dedicadas
• Opción para garantizar que host físicos no son compartidos por otros
clientes
• $2/hr flat fee por región + specific dedicated pricing
• Opción de identificar instancias específicas como dedicadas.
• Opción de configurar toda una VPC como dedicada.
http://aws.amazon.com/dedicated-instances/
28. Recomendaciones:
• Diseño con menor cantidad de privilegios
• SOA design
• Clasificar los recursos y proteger de acuerdo a ellos
• Seguridad en todas las capas
• Inspeccione/verifique lo que usted imagina/espera
29. AWS Security and Compliance Center
(http://aws.amazon.com/security/)
• Respuestas a muchas preguntas de seguridad y privacidad
• Security whitepaper
• Risk and Compliance whitepaper
• Boletines de Seguridad
• Penetration testing por el cliente
• Mejores prácticas de seguridad
• Más informaciones:
• AWS Identity & Access Management (AWS IAM)
• AWS Multi-Factor Authentication (AWS MFA)
30. Recursos Adicionales
• Converse con nosotros sobre sus preguntas de
seguridad
• Arquitectos de Soluciones especialistas en
seguridad y conformidad, están disponibles
para hablar con usted cuando lo necesite.
31. Sus sugerencias/dudas son *muy*
importantes…
• Preguntas sobre nuestras certificaciones y
conformidades?
• Otras certificaciones necesarias que usted considere que
debamos explorar?