La nube está cambiando la forma en que los profesionales de TI piensan sobre la seguridad empresarial. He aquí algunos consejos para superar algunos retos de seguridad utilizando las herramientas de AWS.
El crecimiento masivo de la nube pública ha sacudido la seguridad de las empresas. Sin embargo, hay ciertas medidas que puede tomar para proteger mejor a su organización de las amenazas.
El miércoles, el Director Técnico de CloudCheckr y su fundador, Aaron Newman, presentaron una sesión de discusión en la conferencia de Amazon AWS re:Invent de 2015, detallando algunas de las formas en que los usuarios de AWS pueden asegurar lo que tienen en la plataforma, utilizando capacidades nativas de AWS.
Moverse a la nube requiere que los usuarios reconsideren la seguridad del perímetro, dijo Newman, y cómo realizan tareas comunes como IPS/IDS basado en la red, escaneo de la red, pruebas de penetración y evaluaciones de vulnerabilidades.
Con AWS, sus activos físicos ya están protegidos. Pero, usted todavía necesita enfocarse en proteger la API de AWS. De esta manera, dijo Newman, usted debe aprender a ver el acceso a AWS Identity and Access Management (IAM) como su nueva seguridad física.
Si utiliza la plataforma AWS, por definición, comparte la responsabilidad de la seguridad con AWS. Como cliente, usted se encarga de la seguridad de sus aplicaciones y contenidos, la seguridad de la red, el inventario y la configuración, la seguridad de los datos y el control de acceso. AWS es responsable de la seguridad de sus productos principales y de su infraestructura.
Aunque el panorama de la seguridad cambia con la nube, persisten algunos principios de seguridad. Por ejemplo, sigue siendo imperativo que reduzca su superficie o que ataque la superficie. Trabaje para limitar el número de formas en las que su organización puede estar «de moda».
Otro principio que permanece es la defensa en profundidad. Incluso con el uso de AWS, usted debe asumir que un hacker será capaz de superar su primera capa de defensa, así que planifique con múltiples capas de defensa.
También hay algunos vectores de ataque que no cambian, incluso con la nube. Los ataques a nivel de aplicación contra el servidor web y las vulnerabilidades del sistema operativo y de las bases de datos deben seguir siendo tenidos en cuenta.
Sin embargo, algunos vectores de ataque cambian. A pesar de su plétora de servicios y piezas móviles, AWS es un entorno bastante homogéneo, dijo Newman. Esto aumenta la seguridad, pero también aumenta el riesgo si alguien obtiene acceso. Además, los objetivos polimórficos y el mapeo y la reducción de la olfateo de red son cambios que su equipo de seguridad debería tener en cuenta.
¿Cómo evalúa la seguridad de su perímetro en este nuevo paisaje? Aproveche la API de AWS.
Siendo que usted está limitado en los tipos de pruebas que puede hacer, use la API para ver lo que tiene en ejecución, qué puertos se están ejecutando, y sus grupos de seguridad y tablas de enrutamiento, entre otras cosas.
Hay algunas pruebas que puedes hacer, pero AWS tiene sus propias reglas. Si desea realizar pruebas de penetración, debe solicitar permiso para realizar dichas pruebas y exploraciones, y debe seguir las reglas y directrices que AWS ha establecido. Por ejemplo, AWS prohíbe probar ciertos tipos de imágenes. Tenga esto en cuenta mientras se dispone a revisar sus medidas de seguridad actuales.
Una de las cosas más difíciles de explicar es la gran cantidad de ofertas de productos AWS. Actualmente, dijo Newman, AWS tiene más de 40 servicios únicos, muchos con sus propios controles de acceso. Y, algunas compañías tienen muchas cuentas AWS diferentes. Necesita un inventario completo de los servicios y cuentas de AWS en uso dentro de su organización si quiere ser capaz de acercarse a la seguridad de forma adecuada.
Una vez que entienda su uso de AWS, es importante que comprenda las limitaciones y parámetros de los productos individuales.
Para empezar, los AWS Virtual Private Cloud (VPCs) están completamente abiertos por defecto. Los VPCs están compuestos de muchas partes móviles incluyendo SCLs de red, grupos de seguridad, subredes y tablas de enrutamiento, así que asegúrese de que todas sus bases estén cubiertas.
El almacenamiento debe ser una consideración clave a la hora de tratar de proteger su nube a prueba de piratas informáticos. El AWS Simple Storage Service (S3) permite hasta 1000 cubos en una cuenta. Newman dijo que los usuarios deben comenzar por hacer un inventario de sus datos confidenciales y asegurarse de nunca conceder permisos completos a nadie, nunca. Familiarícese con los controles de acceso S3 y adopte una postura de seguridad agresiva, incluso si no cree que sea crítico.
El Servicio de Base de Datos Relacional (RDS) es otro producto popular de AWS que puede existir dentro o fuera de un VPC. Si su RDS no está en un VPC, dijo Newman, debe usar grupos de seguridad de base de datos para protegerlo. Además, si lo hace accesible al público, lo que Newman no recomendó, asegúrese de restringir el acceso al IP de origen y de aplicar los parches más recientes. Además, asegúrese de proteger las instantáneas de su base de datos.
A medida que continúa implementando productos AWS, es bueno entender cómo se aseguran ciertas cosas. Por ejemplo, el servicio Simple Queue Service (SQS) siempre está disponible al público y su seguridad se basa en documentos de políticas, por lo que debe saber dónde encontrar sus permisos en esos documentos. Simple Notification Service (SNS), por otro lado, tiene permisos basados en políticas temáticas.
Ya que estamos construyendo seguridad en la API de AWS, es una buena idea monitorear la API misma. AWS CloudTrail registra cada vez que se llama a su API y soporta la mayoría de los servicios AWS. Newman dijo que es»como la cámara de video en tu centro de datos». El problema es que la mayoría de la gente no lo enciende al principio. Newman recomienda encenderlo en todas las regiones y configurar alertas para cualquier momento en que pueda ser desactivado.
Otra buena herramienta de monitoreo son los registros de flujo VPC, que registran cada vez que los paquetes entran o salen de un VPC. Se trata de los «metadatos sobre quién está hablando con quién», dijo Newman.
Asegurar AWS contra los hackers requiere un profundo conocimiento de AWS y del contexto en sus múltiples facetas. Si usted está interesado en usar herramientas adicionales, dijo Newman, las herramientas genéricas no son suficientes. Busque herramientas especialmente diseñadas para trabajar en la nube.