Echando un vistazo a AWS y al monitoreo de la seguridad en la nube
Cada vez más empresas comprenden los beneficios de la computación en la nube, lo que hace que su migración a la nube sea más rápida. Por Estudio de computación en la nube 2020 de IDG, el 81 % de las organizaciones dijeron que habían migrado una aplicación o una parte de su infraestructura a la nube. Las razones por las que una empresa cambiaría sus servicios hacia la nube dependen, por supuesto, de sus prioridades comerciales. Las razones generales para migrar incluyen 1) ahorro de costos, 2) confiabilidad, 3) escalabilidad y 4) flexibilidad.
Aun así, es importante que las organizaciones implementen los controles de seguridad necesarios una vez que hayan migrado a la nube. Este papel blanco pone especial énfasis en los controles de seguridad nativos de la nube ofrecidos por Amazon Web Services (AWS), uno de los proveedores de infraestructura de nube pública más comunes utilizados por las organizaciones en la actualidad. Los controles en Network Security y Endpoint, así como en Services Security, pueden ayudar a los ingenieros de seguridad a proteger la infraestructura de AWS y garantizar que funcionen de manera efectiva.
Vamos a desglosarlos a continuación.
Organización de AWS y VPC
La arquitectura de AWS proporciona la máxima accesibilidad a los servicios dentro de la misma área geográfica y ayuda a las organizaciones a tener un mayor tiempo de actividad. Las áreas geográficas llamadas regiones son donde se ubican los centros de datos físicos. Dentro de una región, puede haber varias zonas de disponibilidad (AZ) que alojan varios centros de datos aislados. Por lo tanto, una empresa puede tener varias cuentas para diferentes proyectos/entornos y para acceder a los servicios de AWS en diferentes regiones de AWS. Al final, las cuentas pueden administrarse por separado o controlarse y monitorearse en Organizaciones de AWS.
Amazon VPC, un centro de datos virtual ubicado en la nube, es la base de los entornos de AWS. Las organizaciones pueden construir redes virtuales internas, lanzar diferentes recursos de infraestructura desde una VPC y lograr una alta disponibilidad colocando varios servidores en varias zonas de disponibilidad y teniendo varias subredes de una VPC. Cada subred, a su vez, enruta el tráfico entre la subred y otros componentes de red de VPC. Otros componentes de red de VPC incluyen grupos de seguridad (SG) y lista de control de acceso a la red (NACL), puertas de enlace de Internet y puertas de enlace NAT, tablas de enrutamiento y VPN, así como conexión directa y puntos finales de VPC.
Para capturar y solucionar problemas de flujos de tráfico, grupos de seguridad y reglas de NACL, se utilizan registros de flujo de VPC. Se pueden crear para redes específicas, subredes o una VPC, y se pueden configurar para capturar diferentes tipos de tráfico en varios servicios de AWS. Sin embargo, no pueden usarse para la inspección del tráfico ya que no capturan el tráfico instantáneamente. En cambio, VPC Traffic Mirroring puede capturar tráfico casi en tiempo real y enviar una copia de la salida a dispositivos de seguridad fuera de banda.
El Analizador de alcance, una nueva característica de la VPC, examina las vías de comunicación de red entre los recursos al mostrar todos los saltos en la ruta desde el origen hasta el destino para los destinos accesibles o las configuraciones que bloquean la comunicación para los destinos inalcanzables. A diferencia del ping, que utiliza paquetes, Amazon VPC crea un modelo de la configuración de la red y luego evalúa esa configuración.
Mediante el uso de controles técnicos como la seguridad de la red, la seguridad de los puntos finales y los servicios, y la supervisión y la automatización, la infraestructura puede estar lo suficientemente protegida.
Implementación de controles de seguridad
Con los servicios nativos de AWS, como AWS Network Firewalls, AWS Web Application Firewalls (WAF), AWS Shield o software de terceros disponible en AWS Marketplace, los ingenieros de seguridad pueden organizar varios controles de seguridad. Aquí hay un poco de contexto sobre cómo estos servicios pueden ayudar:
AWS Network Firewall proporciona protección de red para Amazon VPC al inspeccionar el flujo de tráfico en busca de coincidencias con una base de datos de anomalías y firmas de amenazas conocidas.
WAF brinda protección de capa 7 para los servicios de AWS contra vulnerabilidades de aplicaciones web comunes, y las reglas de WAF se pueden crear desde cero o preconfigurarse.
AWS Shield brinda protección estándar y avanzada contra incidentes DDoS, y la protección avanzada ofrece beneficios adicionales, como accesibilidad las 24 horas, los 7 días de la semana, al equipo de respuesta de AWS DDoS y protección de costos contra picos.
Para controlar todas estas diferentes reglas y políticas de seguridad, AWS Firewall Manager puede extenderse a numerosas cuentas de AWS bajo las mismas organizaciones de AWS. También se puede utilizar para eliminar grupos de seguridad no utilizados y redundantes.
Asegurar y monitorear puntos finales
La seguridad y el monitoreo de los diferentes tipos de puntos finales son esenciales y hay varios servicios de AWS disponibles para ayudar a las organizaciones a hacer esto. Por ejemplo, Amazon CloudWatch monitorea el tráfico en tiempo real, recopila registros para diferentes servicios y aplicaciones de AWS, así como también recopila métricas de rendimiento, entre muchas otras operaciones. Se integra bien con otras herramientas de monitoreo de seguridad como AWS CloudTrail, un servicio de auditoría que registra todas las actividades de la cuenta y el historial de eventos, realiza un seguimiento de los cambios y demuestra el no repudio. Luego publica los registros en Amazon CloudWatch.
La administración sencilla de los diversos activos de la empresa ubicados en la nube se puede realizar mediante AWS System Manager. Proporciona servicios adecuados para diferentes propósitos en la administración, el monitoreo y la automatización de sistemas, como AWS System Manager Inventory, AWS System Manager Distributor, AWS System Manager Patch Manager, AWS System Sessions Manager y AWS System Automation.
Monitoreo continuo
Para garantizar que los activos de una empresa en la nube permanezcan a salvo de ataques y funcionen como deberían, se utilizan herramientas de monitoreo continuo para detectar y responder a las amenazas, así como para evaluar constantemente los recursos.
Como ejemplo, Amazon Inspector se utiliza para encontrar vulnerabilidades y configuraciones incorrectas de seguridad mediante el uso de plantillas de evaluación predefinidas. Cada plantilla de evaluación contiene paquetes de reglas que indican a Amazon Inspector cómo debe evaluarse el objetivo de la evaluación. Hay cuatro paquetes de reglas: 1) Accesibilidad de la red, 2) Vulnerabilidades y exposiciones comunes (CVE), 3) Puntos de referencia del Centro para la seguridad de Internet (CIS) y 4) Mejores prácticas de seguridad.
Mientras que Amazon Inspector encuentra las vulnerabilidades, Amazon GuardDuty detecta varios tipos de amenazas y comportamientos no autorizados. Una vez que se detecta una amenaza, Amazon Detective puede ayudar a un ingeniero de seguridad con la investigación de incidentes y la búsqueda de amenazas.
Garantizar que los sistemas operativos, las aplicaciones y la base de datos sean compatibles es el trabajo de servicios como AWS Config y AWS Audit Manager. AWS Config garantiza que se implementen los controles técnicos que cumplen con los requisitos de cumplimiento, mientras que AWS Audit Manager recopila la evidencia para demostrar que se implementan estos controles técnicos.
La visualización de todos los controles de seguridad de diferentes servicios y cuentas de AWS dentro de una empresa desde una consola centralizada se puede lograr con AWS Security Hub o AWS -ELK (Elasticsearch, Logstash y Kibana), que se ofrece como SaaS.
Servicios de automatización
Muchos servicios de AWS tienen automatización integrada para ejecutar evaluaciones, recopilar información y combinar resultados de forma continua. Los scripts se pueden ejecutar para completar una tarea específica utilizando servicios como System Manager Run Command y System Manager Automation.
Tanto AWS CloudTrail como CloudWatch Events permiten una automatización completa, es decir, encontrar el evento, enviar una alarma y luego activar una acción de remediación. CloudWatch se integra con casi todos los servicios de AWS y un evento desencadenará un evento de CloudWatch que CloudTrail captura e invoca una acción basada en los patrones de eventos.
Conclusión
Los diversos servicios de seguridad administrados nativos de AWS descritos en esta revisión pueden ayudar a las organizaciones a decidir cómo encajan mejor en su panorama de seguridad. La implementación de estos servicios puede ayudar a las organizaciones a reducir las complejidades de las operaciones y las cargas de trabajo, discernir mejor el estado de seguridad del entorno y eliminar costos mediante la eliminación de controles de terceros duplicados innecesarios.
Sin embargo, no todas las organizaciones pueden implementar esas medidas por su cuenta. Eso se debe a que muchos no solo tienen que preocuparse por los entornos de AWS. En julio de 2021, por ejemplo, el 73 % de los profesionales de seguridad le dijeron a Dimensional Research en una encuesta reciente que sus empleadores tienen una estrategia de múltiples nubes. Esta cifra ni siquiera considera la cantidad de organizaciones que necesitan proteger los entornos de nube híbrida.
Afortunadamente, las soluciones de ciberseguridad de HCiberSegurity ayudan a las organizaciones a lograr una visibilidad completa de toda su infraestructura, incluidas las implementaciones únicas de AWS, los entornos de varias nubes y los acuerdos de nube híbrida. Esas herramientas luego ayudan a los equipos de seguridad a monitorear las configuraciones de sus activos conectados y administrar cualquier vulnerabilidad conocida.
Obtenga más información sobre las soluciones de ciberseguridad en la nube de HCiberSegurity aquí.