¿Porqué la Nube es el lugar más Seguro para mi Infraestructura? [1ra Parte]

¿Porqué la Nube es el lugar más Seguro para mi Infraestructura? [1ra Parte]

En este articulo analizaremos muchas de las herramientas que AWS (Amazon Web Services) nos ofrece para garantizar la Seguridad de nuestra información en la Nube.

En la actualidad, muchas empresas analizan la posibilidad de migrar su infraestructura IT hacia la Nube. Pero aún existen grandes preguntas y dudas conceptuales, como por ejemplo, mi información estará protegida? de qué manera? la Nube me protege ante un ciberataque? tendré conocimiento si soy atacado? y cuáles son las responsabilidades de un servicio cloud?

Por ello, a continuación, explicaremos como AWS nos ayuda a despejar todas estas dudas e interrogantes.

 

Para comenzar a entrar en tema, podemos abordar el modelo de responsabilidad compartida que aplica Amazon Web Services, donde existen responsabilidades (respecto a la ciberseguridad) tanto para clientes como para AWS. Por ende, nosotros como clientes o consultores debemos proteger nuestra información y al mismo tiempo conocer claramente hasta donde AWS se encargará de la seguridad de nuestra infraestructura de Nube.

En el siguiente gráfico podemos ver claramente las responsabilidades de ambas partes dentro del modelo de responsabilidad compartida de AWS.

A continuación, nos enfocaremos en las distintas herramientas que AWS tiene a disposición para garantizarnos la seguridad de nuestra información.

Hardware / Infraestructura Global AWS: Regiones, Zonas Disponibles y Ubicaciones Fronterizas

En este punto AWS es totalmente responsable de las locaciones físicas de su infraestructura, sus zonas y regiones. Esto tambien incluye todo el hardware que nos brinda al momento de las contrataciones de servicios de Nube.

Software: Cómputo, Almacenamiento, Bases de Datos y Red

Esto significa que AWS es el responsable del módelo de cómputo, el almacenamiento de la información, la estructura de las Bases de datos y la red de datos de todos los servicios de Nube que contratemos.

En resumidas cuentas, podemos afirmar que AWS es responsable de proteger y garantizar la infraestructura que ejecuta todos los servicios provistos en la nube. Esta infraestructura está conformada por el hardware, el software, las redes y las instalaciones que ejecutan los servicios de la nube de AWS.

¿Qué herramientas nos ofrece AWS para controlar el flujo de la información, el networking, las alertas de seguridad, el estado de mi código y el estado de mis servicios?

A continuación, responderemos estas interrogantes mediante el repaso de varias herramientas de control y gestión que nos ofrece AWS para tener bajo la lupa toda nuestra infraestructura de Nube.

Comenzaremos con la gestión de usuario y accesos a los recursos de la nube de AWS, lo recomendable es trabajar con una plataforma denominada IAM (Identity and Access Management). IAM es utilizada para controlar el acceso a los servicios y recursos de AWS. También es posible definir el modo en que un usuario puede utilizar AWS, como por ejemplo en qué horarios, desde qué dirección ip se conectará, si debe utilizar SSL o si deberá autenticar con un dispositivo multifactor. Con IAM podremos controlar nuestros Usuarios, definiendo sus Accesos y Permisos dentro de nuestra Infraestructura de Nube en AWS.

AWS también cuenta con otras herramientas como AWS Directory Service, la misma conforma un Directorio Activo para implementar políticas, directivas, grupos, etc. AWSDS cuenta con Single Sign-On o Amazon Cognito, una característica para poder autenticar usuarios a una aplicación desarrollada en la Nube, con la cual AWS se encarga de los niveles de autenticación y su gestión.

Continuando con las herramientas, comenzaremos a enfocarnos en el monitoreo y la detección de intrusos. AWS cuenta con Amazon GuardDuty, una herramienta enfocada al control y detección de amenazas, esta característica se habilita sin necesidad de instalar o realizar una gestión compleja de implementación, simplemente se activa desde la consola de administración de AWS.

Siguiendo con las herramientas de monitoreo brindadas por AWS, podemos mencionar a Amazon Inspector, una característica que nos permite evaluar el nivel de seguridad de nuestras aplicaciones. Esta herramienta se encargará de buscar vulnerabilidades, exposiciones o desviaciones de nuestras aplicaciones, generando informes que quedarán disponibles dentro de nuestra consola de AWS.

También podemos encontrarnos con AWS Security Hub, la cual es una consola que nos permite visualizar las alertas de seguridad con alta prioridad, refiriéndose a los firewalls y puntos de enlace. Dentro de la consola podremos ver algunas de las herramientas antes mencionadas como las alertas de GuardDuty o Amazon Inspector.

Por ultimo, nos encontramos con Amazon Detective, una herramienta para el análisis de Monitoreo que es muy cercana a la ciberseguridad forense. Esta herramienta que nos permite analizar, investigar e identificar la causa de un posible problema de seguridad o ciertas actividades sospechosas en nuestra Nube.

Si todo esto te parece poco como para proteger tu infraestructura de Nube, AWS cuenta además con herramientas de protección de infraestructuras y datos, las cuales veremos en un próximo post.

Ariel Seba

SysAdmin – Operations Support

NEXTWARE S.A.

QUIERO SABER MÁS SOBRE LOS SERVICIOS GESTIONADOS DE NUBE Y CIBERSEGURIDAD