La seguridad y Amazon Web Services

amazon-aws_2La seguridad en la nube puede ser confusa y por regla general hay una percepción de inseguridad esto no se alinea con la realidad. Actualmente la seguridad ofrecida a través de AWS se basa en premisas muy concretas como las siguientes:

  • Seguridad Universal, es decir se aplica un nivel de seguridad alto a todo tipo de institución como gobiernos, empresas, usuarios domésticos, etc.
  • Visible, los elementos de seguridad son accesibles y gestionados por el usuario a través del panel de control de AWS.
  • Auditable, los servicios desplegados pueden ser auditados por software de terceros. Se pueden aplicar planes, políticas y procedimientos de seguridad. La gestión y análisis de logs puede ser parte del sistema de gestión de la seguridad.
  • Transparente, actualmente AWS aplica las certificaciones de seguridad mundiales en todos sus sistemas, como ISO 27001 (Europa), SOC1,  SOC2 y SOC3 (EEUU).
  • Distribuida, la seguridad es compartida, es decir hay una distribución de responsabilidades en la seguridad final de un servicio desplegado en AWS donde parte concierne a AWS y la otra parte al cliente.
  • Familiar, las interfaces de uso de los elementos de seguridad son fáciles y simples de usar.

La seguridad es una pieza clave de cualquier servicio que se quiera desplegar. Actualmente se proporcionan diferentes mecanismos y sistemas para ayudar a una gestión personalizada de la seguridad. Por la parte de AWS aplica el nivel de seguridad máximo, y además proporciona mecanismos para que los servicios que se desplieguen en sus infraestructuras puedan aplicar los mismos niveles de seguridad.

La seguridad compartida

El concepto de seguridad compartida puede ser el que más confusión pueda generar y el que más claro debe estar.

La seguridad compartida se basa en el principio de responsabilidad por roles, donde cada rol tiene asociada su correspondientes obligaciones con y por la seguridad de su servicio.

En AWS hay dos roles principales: el rol que toma el propio AWS y el rol del cliente. Las responsabilidades para cada rol son las siguientes:

AWS
Cliente
Comodidades
Sistema operativo
Seguridad física
Aplicación
Infraestructura física
Grupos de seguridad
Infraestructura de comunicaciones
Firewall
Infraestructura de virtualización
Configuración de red
Administración de cuentas

Es decir, la seguridad tiene que ser un concepto cuidado por todas las partes que participan en la solución. Por parte de AWS proporciona a través de su centro de seguridad el documento con todos los procesos que intervienen en esta área.

Por parte del cliente tiene que mantener el sistema operativo que haya desplegado actualizado y limpio de malware. Las aplicaciones tienen que estar actualizadas y ser resistentes a vulnerabilidades documentadas. Los grupos de seguridad deben ser gestionados correctamente. El firewall debe permitir acceso únicamente a los puertos empleados por la solución.

En referencia a la seguridad física y de entorno AWS se responsabiliza de los siguientes elementos:
  • Detección de fuego y extinción.
  • Suministro eléctrico.
  • Climatización y temperatura.
  • Administración y monitorización de los equipos.
  • Retirada y destrucción del almacenamiento.
En referencia a la continuidad de negocio:
  • Disponibilidad de los sistemas.
  • Respuesta ante incidentes.
  • Auditoría interna.
  • Disponibilidad de comunicaciones.
En referencia a la seguridad de red:
  • Arquitectura de red segura. (ACL)
  • Puntos de acceso entrada/salida seguros.
  • Transmisión segura. (SSL)
  • Segregación de seguridad de red con sistemas propios de Amazon AWS.
  • Diseño de red tolerante a fallos.
  • Protección y monitorización de red.
    • DDoS.
    • Man in the Middle.
    • IP Spoofing.
    • Port Scanning.
    • Packet sniffing.
Acceso a AWS:
  • Revisión y auditoria de cuentas de acceso a consola AWS.
  • Revisión de puertas traseras.
  • Políticas de credenciales.

La configuración de red debe estar segmentada y aislada. Por último la administración de cuentas de gestión de los servicios de AWS debe ser protegida por el cliente.

Para todo lo concerniente AWS proporciona herramientas para llevar a cabo de una manera sencilla y amigable todos estos procesos.

Conclusión

Desplegar una aplicación en cloud no es sinónimo de inseguridad o descontrol. Todo lo contrario, de hecho AWS proporciona unos niveles de servicio y unos niveles de seguridad muy por encima de la media, y mucho mayor del que puede ofrecer muchos proveedores nacionales. El problema surge que el hecho de desplegar un servicio en AWS no te garantiza la seguridad, ya que la seguridad de aplicación, la gestión de usuarios, la comunicación entre el cliente y el servicio, y otros punto más detallados anteriormente son delegados al usuario. AWS a través de su servicio de alertas envía avisos de posibles vulnerabilidades documentadas sobre CMS clásicos, o servidores de aplicaciones, pero al final, es el responsable del servicio el que debe gestionar su parte para evitar fallos por brechas de seguridad.

Victor Adsuar

Autor: Victor Adsuar

Compartir artículo en

Escribir un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR