¿Qué es la seguridad en la nube de AWS?

La seguridad en la nube de AWS hace referencia a un conjunto de protocolos y medidas diseñados para proteger el entorno de nube pública de Amazon Web Services (AWS) frente a las amenazas de la nube. AWS aplica un modelo de responsabilidad compartida, un marco que delimita las responsabilidades del proveedor de servicios en la nube y de los clientes. Con el tiempo, ha incrementado sus capacidades, pero la creciente adopción de entornos multinube o híbridos trae consigo un nuevo conjunto de desafíos de seguridad en la nube.

En este artículo, ampliaremos los consejos y sugerencias de Amazon y explicaremos por qué, en ocasiones, no basta con seguir a ciegas sus prácticas recomendadas de seguridad.

Más allá de las mejores prácticas: lo que no te cuentan

Hemos estado en esta misma situación y sabemos que hay muchos recursos disponibles sobre las mejores prácticas de seguridad. Sin embargo, siempre suelen hacer referencia a los mismos puntos y se centran en los pasos iniciales de la protección de la infraestructura de la nube.

Algunas de estas mejores prácticas son:

• Cifrar los datos en la nube: AWS cuenta con opciones propias de cifrado de datos en la nube. El cifrado AES-256 bits es una clave gestionada por el servicio de AWS que se proporciona de forma gratuita, con la desventaja de que solo ofrece cifrado del lado del servidor. AWS Key Management Service es la opción de pago que te permite crear y cifrar tu propia infraestructura.
• Crear nubes privadas virtuales (VPC): si los clientes crean VPC, pueden aislar sus cargas de trabajo entre sí a nivel de red. Las VPC son herramientas de seguridad útiles que ayudan a reducir los riesgos de seguridad.
• Realizar copias de seguridad de los datos: las operaciones empresariales pueden verse interrumpidas en caso de brecha. Estas interrupciones operativas se atenúan notablemente si se ha realizado una copia de seguridad de todos los datos de la organización que, en caso de brecha, se puede poner en marcha en un breve periodo de tiempo.
• Utilizar la autenticación multifactor (MFA): la MFA mejora la seguridad del sistema al comprobar que los usuarios son quienes dicen ser y limitar el número de usuarios que pueden acceder y/o modificar datos almacenados.
• Establecer contraseñas seguras: debes seguir mejores prácticas para el almacenamiento de contraseñas con el objetivo de evitar que los hackers puedan penetrar a tu red o sistema.
• Centraliza los logs de pistas de la nube: disponer de un registro centralizado permite a los equipos detectar fácilmente comportamientos sospechosos en los servicios de AWS como S3 y RDS.
• Refuerza la gestión de acceso e identidades: la IAM permite al departamento de TI agilizar y controlar qué usuarios pueden acceder a qué cantidad de datos en la red.

Estas sugerencias son útiles para empezar, pero escalarlas no suele ser fácil y, además, no conforman una estrategia completa y robusta de seguridad de la nube. Para elaborar una estrategia de ese tipo, debes ir un paso más allá.

A continuación encontrarás cuatro recomendaciones que amplían las mejores prácticas y consejos proporcionados por Amazon.

1. Presta atención al problema del suplente confuso

El problema del suplente confuso es un problema de seguridad en el que una entidad no autorizada puede utilizar otra entidad con más privilegios para acceder a tus recursos dentro de tu cuenta de AWS. Esto solo puede ocurrir si tenemos que autorizar a un tercero a acceder a nuestros recursos; una práctica que, por desgracia para este problema, se ha vuelto habitual en el mundo de la computación en la nube y SaaS.

Si no supervisas de cerca estos casos, podrías acabar concediendo acceso ilimitado a tu infraestructura a un actor malintencionado. Para evitar este riesgo, cuando definas los roles, utiliza la propiedad ID externa de Amazon. El ID externo es solo un campo (algo similar a una contraseña) que las entidades deben proporcionar cuando asumen un rol determinado.

Sin embargo, no es una cuestión que deba tomarse a la ligera, ya que hay muchas formas de forzar este campo. Cuando se defina, debe utilizarse una contraseña segura y difícil de adivinar, que se envíe cifrada al proveedor externo para que la almacene. Para reforzar todavía más la seguridad en este punto, es recomendable cambiar estos ID externos de vez en cuando.

2. Desarrolla directivas sencillas, breves y escalables

Como sabrás, AWS utiliza directivas para conceder o denegar el acceso a los recursos a las entidades. Según AWS, así es como debes definir quién puede acceder a qué recursos. Sin embargo, si tienes previsto seguir creciendo, debes elaborar un plan que vele por la relevancia de tus directivas a largo plazo. Para ello es necesario que las directivas sean sencillas y directas.

Por ejemplo, si necesitas conceder acceso a un determinado servicio, como AWS Lambda, puedes desarrollar una directiva personalizada destinada a eso, y nada más. Así, podrás evitar interacciones no deseadas entre usuarios y servicios. Es mejor aplicar varias directivas que se centren en una acción, que tener una sola directiva que abarque varias cuestiones, ya que esta última será más difícil de leer, mantener y escalar.

3. Entiende bien la importancia de IAM

¿Por qué apoyarse en grupos de IAM en lugar de usuarios o roles?

Es importante que sepas que no debes aplicar directivas directamente a usuarios o roles, sino que debes usar grupos de IAM para hacerlo. De esta manera, podrás redactar diversas directivas que se apliquen a varios subconjuntos de usuarios de la cuenta, como desarrolladores, administradores de sistemas, evaluadores, ingenieros de control de calidad, etc.

Una vez redactadas, puedes asignarlas a esos grupos formados en función de las responsabilidades o del rol de los usuarios en la empresa. La ventaja de hacerlo así es que puedes elaborar un conjunto de directivas y aplicarlas todas a la vez, y si necesitas especificaciones adicionales para un empleado en concreto, puedes asignarle una directiva sencilla y añadir esos permisos especiales.

De lo contrario, si necesitas realizar modificaciones sobre un conjunto de usuarios (desarrolladores, por ejemplo), tienes que modificar las directivas de su grupo, lo que afectará a todas las directivas de usuario de ese grupo a la vez.

4. Utiliza un servicio de visibilidad

¿Por qué es importante utilizar un servicio de visibilidad como AWS Systems Manager?

AWS Systems Manager es un servicio de seguridad y visibilidad que actúa como el centro de todos tus flujos de trabajo y recursos de AWS para proporcionarte una interfaz de usuario centralizada que te permite explorar libremente tu infraestructura. Gracias a este servicio, puedes revisar vulnerabilidades y aplicar parches, además de beneficiarte de un único repositorio para todo tu entorno en el que podrás gestionar los datos de configuración de tus aplicaciones.

A través de este servicio podrás crear grupos de recursos entre diferentes servicios de AWS y ver los datos agregados por grupo de recursos. A continuación, podrás actuar en base a la información y automatizar las acciones operativas en estos grupos de recursos.

AWS Systems Manager cuenta con capacidades adicionales en forma de servicios más pequeños, como Incident Manager y Change Manager. El primero te permite crear planes de respuesta que se activan cada vez que hay problemas de disponibilidad, rendimiento o seguridad en tus aplicaciones o flujos de trabajo. Así, recibes notificaciones cuando se producen cambios en el entorno que generan vulnerabilidades de seguridad que deben abordarse a la mayor brevedad posible. Incident Manager puede ejecutar esos planes si se activan, y notificar a los primeros intervinientes por SMS o correo electrónico, revertir los cambios de última hora y proporcionar métricas útiles posteriores al incidente.

Por otro lado, Change Manager permite simplificar la forma en que se realizan cambios en la infraestructura y la configuración de la cuenta. Con este servicio pueden crearse "plantillas de cambio" que ayudan a evitar resultados no deseados cuando se modifican ciertas cosas (como las directivas de IAM). Es una herramienta especialmente útil para asegurarse de que ningún cambio problemático atraviese el flujo de trabajo predefinido, lo que, a su vez, ayuda a detener los problemas de seguridad antes incluso de que ocurran.

Todo esto encaja muy bien en una solución de seguridad basada en múltiples directivas; justo lo que AWS sugiere que hagamos.

Cómo puede ayudarte CrowdStrike

Aunque puede que no todos estos pasos sean relevantes para tu infraestructura, es bueno tener otras formas de protegerla, más allá de los cinco consejos de siempre que nos da AWS. Su modelo de responsabilidad compartida es útil, pero no proporciona las herramientas necesarias para proteger nuestro entorno; simplemente nos indica qué debemos proteger.

Ya sabemos que debemos cifrar los datos y claves de acceso de seguridad, y planificar nuestra estrategia de seguridad debería ser algo obvio al trabajar en una gran infraestructura en la nube y mantenerla.

Si estás buscando una solución gestionada, explora CrowdStrike Falcon^® for AWS. Este servicio ofrece protección integral, desde el host hasta la nube y en todas partes, al tiempo que garantiza una visibilidad completa de todos tus recursos, cuentas e instancias.