¿Qué es AWS Security Framework?

La tecnología en la nube se ha apoderado del mundo en los últimos años. Las empresas tecnológicas han migrado a la nube o están en proceso de hacerlo. Una de las principales razones de esta rapidez es la facilidad de uso, la menor tensión para gestionar la infraestructura, la desaparición de los problemas de escalabilidad y la rentabilidad. Toda moneda tiene dos caras, y la tecnología en la nube no es una excepción. La tecnología en la nube se enfrenta a sus propios retos. El mayor de ellos es la seguridad en la nube.

AWS, también conocido como Amazon Web Services, es un proveedor de servicios en la nube y tiene la mayor cuota de mercado en 2024. AWS posee actualmente el 32 % de la cuota de mercado, y la razón por la que tiene la mayor cuota de mercado no son las ventajas que ofrece la tecnología en la nube, sino el número de herramientas y opciones de integración que ofrece. AWS tiene servicios para casi todo lo que se te ocurra, incluyendo el envío de mensajes, la gestión de usuarios, la creación de máquinas virtuales, etc.

En esta entrada del blog, analizaremos qué es AWS Security Framework, cómo funciona y por qué las empresas lo necesitan en primer lugar. También analizaremos múltiples formas de proteger sus aplicaciones web y sin servidor, junto con las diferentes herramientas y tecnologías que ofrece AWS para automatizar el proceso DevSecOps.

Gestión de identidades y accesos en AWS

Las empresas con cientos de empleados necesitan una herramienta adecuada para gestionar sus identidades y cómo pueden acceder a los diferentes recursos. Los empleados deben tener ciertos niveles de acceso en función de los recursos o datos que necesiten, y para ello necesitamos IAM. En esta sección, analizaremos cómo funciona AWS IAM.

1. Gestión de identidades y accesos de AWS (IAM): IAM es utilizado por las empresas para controlar el acceso a los recursos de AWS o a los datos almacenados en AWS por motivos de seguridad. Se puede acceder a las funcionalidades de IAM mediante la interfaz de usuario o la API de AWS. Esta herramienta ayuda a los administradores a gestionar de forma centralizada los usuarios, las claves de acceso y los permisos, lo que les permite hacer más y reducir el desorden.
2. Inicio de sesión único (SSO) de AWS: Las cuentas y aplicaciones de AWS también se pueden gestionar desde una única fuente utilizando la base en la nube, el servicio de inicio de sesión único (SSO) de AWS, que facilita la gestión de las cuentas SSO de AWS.
3. AWS Organizations para la seguridad de múltiples cuentas: Una organización puede tener varias cuentas de AWS bajo la cuenta raíz o principal. El servicio AWS Organization se proporciona para gestionar todas estas cuentas. Suele utilizarse cuando las empresas adquieren pequeñas empresas o algunos equipos crean cuentas separadas en función del caso de uso.

Implementación de la seguridad de red y la protección de datos de AWS

La seguridad de red es un proceso que se utiliza para proteger la información confidencial en las redes (que viaja desde el origen hasta el destino). La seguridad de la red se puede implementar de múltiples maneras, como mediante el uso de hardware, software y protocolos con el objetivo final de proteger los datos. Algunas de las herramientas que proporciona AWS para la protección de datos son las siguientes:

Nube privada virtual

Amazon Virtual Private Cloud (VPC) ayuda a crear secciones aisladas dentro de la nube que estarán aisladas del resto de la nube. Estas redes aisladas aíslan los recursos utilizados en la red, proporcionando subredes públicas y privadas, lo que ayuda a proteger los recursos confidenciales del acceso directo a Internet.

Grupos de seguridad y listas de control de acceso a la red

AWS proporciona dos herramientas para controlar el tráfico dentro de la VPC. La primera es Grupos de seguridad, en la que AWS proporciona un tipo de firewall virtual que opera a nivel de instancia y garantiza que se pueda configurar para el tráfico entrante y controlar el tráfico saliente utilizando el rango de IP, puerto, protocolo, etc. La otra son las listas de control de acceso a la red (NACL). Estas reglas operan a nivel de red, en este caso, a nivel de subred, y también controlan el tráfico entrante y saliente.

AWS Private Link y puntos de conexión de VPC

Si una organización o un cliente desea acceder al servicio de AWS sin utilizar la Internet pública, puede utilizar AWS PrivateLink, que es uno de los puntos de conexión de VPC. PrivateLink permite a los clientes acceder a los servicios de forma segura y también les permite acceder a los recursos de VPC desde los servicios de AWS y los servicios de puntos de conexión de VPC.

Cifrado de datos

El cifrado de datos de AWS es una de las herramientas de seguridad más importantes que ayuda a proteger los datos confidenciales tanto en la fase de reposo (datos en reposo) como en la fase de tránsito (datos en movimiento). Para proteger los datos en reposo, se pueden utilizar servicios de AWS como Amazon EBS, S3 y RDS, que se pueden configurar directamente para cifrar automáticamente los datos que contienen (la habilitación directa del cifrado puede no funcionar en casos complejos de almacenamiento de datos). En el otro caso, cuando los datos están en tránsito, se pueden utilizar protocolos SSL/TLS junto con conexiones VPN para evitar que los atacantes intercepten los datos.

AWS Certificate Manager

Para que las técnicas de cifrado funcionen correctamente en AWS, se utiliza AWS Certificate Manager (ACM). ACM ayuda a aprovisionar, gestionar e implementar certificados SSL/TLS, así como a gestionar su renovación. Esto es muy utilizado por las empresas que utilizan AWS para implementar aplicaciones web.

Tipos de marcos de seguridad de AWS

Algunos de los principales tipos de marcos de seguridad que ofrece AWS son los siguientes:

1. Marco de adopción de la nube de AWS (CAF)

AWS CAF ayuda a los proveedores a obtener una perspectiva de seguridad y definir las mejores prácticas para la seguridad de los datos. Se centra más en mostrar a las empresas cómo pueden garantizar la combinación adecuada de seguridad y negocio, soluciones IAM deben implementarse y cómo las empresas pueden cumplir con la normativa federal de los organismos gubernamentales. El marco es más bien una guía que muestra a las empresas cómo pueden implementar e integrar la seguridad en sus negocios.

2. Marcos de cumplimiento

AWS cuenta con un programa formal de seguridad y cumplimiento normativo, y tiene algunos requisitos definidos. AWS ha diseñado una serie de servicios de infraestructura para garantizar que las organizaciones cumplan con sus necesidades normativas, como PCI DSS (Payment Card Industry Data Security Standard for the Payment Card Industry), HIPAA y SOC2.

3. AWS Control Tower

AWS Control Tower es un servicio que ayuda a los proveedores de servicios a configurar un entorno AWS multiconta seguro y conforme. Se puede utilizar para configurar las principales funciones de las cuentas y la base de los servicios que añaden capacidades para compartir cuentas, acceder a datos en la nube y gestionar la resolución de problemas de configuración de cuentas.

4. Marco de protección de datos

AWS proporciona orientación y servicios para ayudar a proteger los datos confidenciales y la información de identificación personal (PII) de la empresa. Esto incluye la protección de los datos tanto en reposo como en tránsito. Esto se puede hacer mediante la gestión de datos, incluida la gestión de claves de cifrado, la supervisión, los controles de acceso y los patrones de uso de los dispositivos.

5. Marco de respuesta a incidentes

La respuesta a incidentes es un plan utilizado por las empresas para gestionar, responder y recuperarse de un incidente de seguridad. Los usuarios de AWS pueden crear un plan de respuesta a incidentes sólido con la ayuda de AWS CloudTrail para auditar el uso de la API, Amazon GuardDuty para la detección de amenazas y AWS Systems Manager para automatizar las acciones de respuesta.

6. Modelo de responsabilidad compartida

No se trata de un marco, sino de un concepto importante que debe entenderse en términos de seguridad de AWS. Según este modelo, la responsabilidad de proteger los datos no recae solo en el proveedor de la nube, sino también en el usuario final.

Herramientas de AWS para la supervisión de la seguridad, el registro y el cumplimiento

AWS ofrece múltiples servicios para el registro, la supervisión y el cumplimiento. Algunos de ellos son los siguientes:

N.º 1. AWS CloudTrail

AWS CloudTrail se utiliza para la supervisión y auditoría de la seguridad. Proporciona un registro de todas las acciones que pueden haber realizado un usuario, una función o el propio servicio de AWS en cualquier servicio de AWS.

#2. Amazon CloudWatch

Amazon CloudWatch ayuda a supervisar los recursos y las aplicaciones que el usuario ejecuta en AWS. Se utiliza para supervisar recursos de AWS como instancias de Amazon EC2, tablas de Amazon Dynamo DB y muchos más.

#3. AWS Config

AWS Config ayuda a realizar un seguimiento de la configuración de los recursos de AWS que utilizan los usuarios en sus cuentas. Básicamente, compara las configuraciones de los usuarios con los ajustes deseados, lo que ayuda a mantener la seguridad y el cumplimiento como objetivo final.

#4. AWS Artifact

Con el fin de obtener información relacionada con el cumplimiento normativo a partir de los informes de seguridad y cumplimiento normativo de AWS y los acuerdos en línea, AWS ofrece el servicio AWS Artifact. Este servicio proporciona a los usuarios múltiples documentos de cumplimiento normativo, incluidas las certificaciones ISO de AWS, los informes de la industria de tarjetas de pago (PCI) y los informes de control de organizaciones de servicios (SOC).

N.º 5. AWS Control Tower

AWS Control Tower proporciona un marco que utilizan las empresas para configurar un entorno AWS con varias cuentas. Garantiza que se disponga de una política de varias cuentas conforme y bien gestionada, ya que mantiene una política uniforme en todas las cuentas y unidades organizativas.

N.º 6. AWS Audit Manager

AWS Audit Manager es un servicio que supervisa su uso de AWS para facilitarle la evaluación de los riesgos y el cumplimiento de las normativas y los estándares del sector. Recopila automáticamente pruebas, lo que reduce el esfuerzo manual necesario para preparar una auditoría.

Detección de amenazas y respuesta a incidentes en entornos AWS

Es importante poder detectar y responder rápidamente a las amenazas de seguridad. Algunas de las herramientas que ofrece AWS para este fin son las siguientes:

• Amazon GuardDuty

AWS proporciona a los usuarios un servicio inteligente de detección de amenazas conocido como Amazon GuardDuty. Esta herramienta supervisa continuamente cualquier actividad maliciosa o comportamiento no autorizado en la cuenta de AWS. Este servicio es capaz de analizar cualquier número de registros de las fuentes de datos de AWS mediante el uso del aprendizaje automático, la detección de anomalías y la inteligencia integrada sobre amenazas.

• AWS Security Hub

Pueden surgir múltiples problemas de seguridad en su entorno AWS. Para detectar los más críticos, el administrador puede utilizar AWS Security Hub, que proporciona una visión general del estado de seguridad y organiza y prioriza las alertas de amenazas críticas.

• Amazon Detective

Para agilizar considerablemente las investigaciones de seguridad, las organizaciones pueden utilizar Amazon Detective, que emplea el aprendizaje automático y la teoría de grafos para crear un conjunto de datos vinculados a partir de los recursos de AWS.

• Amazon Macie

La protección de datos es una necesidad absoluta para cualquier organización. Amazon ofrece Amazon Macie, que utiliza el aprendizaje automático y la comparación de patrones para proteger los datos confidenciales en AWS. También puede proporcionar una lista de buckets de Amazon S3 que pueden contener los datos y que no están cifrados o son de acceso público (es decir, están mal configurados).

• AWS IoT Device Defender

Al utilizar dispositivos IoT, las organizaciones deben tener cuidado con cuestiones como los certificados de identidad compartidos entre varios dispositivos o los dispositivos con un tráfico saliente anormalmente alto que podrían indicar queestán participando en un ataque DDoS. AWS IoT Device Defender se encarga automáticamente de estos problemas, lo que garantiza la seguridad de la infraestructura de hardware.

Cómo proteger las aplicaciones web y sin servidor en AWS

Los servicios web son habituales hoy en día, ya que los desarrolladores utilizan un servidor web para implementar aplicaciones, pero el concepto de "sin servidor" es nuevo. En los entornos sin servidor, los desarrolladores no tienen que gestionar ni mantener la infraestructura, ya que todo lo hace el proveedor de la nube. Veamos los servicios clave y sus funciones que se pueden utilizar para proteger sus aplicaciones web y sin servidor:

1. AWS WAF (Web Application Firewall)

Los exploits web comunes pueden afectar a la disponibilidad de su aplicación, comprometer su seguridad o provocar un consumo excesivo de recursos. AWS WAF protege nuestra aplicación de todas estas amenazas. Permite a los usuarios crear reglas de seguridad para controlar el tráfico de bots y bloquear patrones de ataque comunes, como la inyección SQL o cross-site scripting.

2. Amazon Inspector

Uno de los servicios de AWS que nos ayuda a garantizar el cumplimiento normativo es Amazon Inspector, que analiza la exposición, las vulnerabilidades y las prácticas recomendadas de la aplicación. Amazon Inspector proporciona un informe detallado de todos estos aspectos y su nivel de gravedad. Estos informes también incluyen sugerencias sobre cómo resolver los problemas.

3. AWS Shield

AWS Shield es un servicio de protección contra denegación de servicio distribuida (DDoS) cuyo objetivo es minimizar el tiempo de inactividad y la latencia de las aplicaciones. Protege las aplicaciones que se ejecutan en AWS de todo tipo de ataques DDoS.

4. AWS Firewall Manager

AWS Firewall Manager facilita la configuración y la gestión centralizadas de AWS WAF, AWS Shield Advanced y los grupos de seguridad de Amazon VPC en todas sus cuentas y aplicaciones. AWS Firewall Manager simplifica la gestión de múltiples reglas de seguridad y la protección continua de las cargas de trabajo.

5. AWS Network Firewall

AWS Network Firewall facilita la implementación de protecciones de red para todas las Amazon Virtual Private Clouds. Con AWS Network Firewall, puede crear políticas de seguridad con reglas de firewall que proporcionan un control preciso del tráfico de red en sus VPC.

Diferentes herramientas para implementar la automatización de la seguridad y DevSecOps

Es importante integrar la automatización de la seguridad en el proceso de DevOps para lograr un nivel más alto de seguridad robusta. Algunas de las herramientas de AWS que nos ayudan a hacerlo son, por ejemplo:

• AWS Systems Manager

AWS Systems Manager es un servicio de gestión que le ayuda a recopilar automáticamente el inventario de software, aplicar parches del sistema operativo, crear imágenes del sistema y configurar los sistemas operativos Windows y Linux.

• AWS CloudFormation

AWS CloudFormation proporciona un lenguaje común para definir y aprovisionar recursos de aplicaciones de AWS y de terceros en su entorno de nube. En términos de seguridad, CloudFormation le permite definir controles de seguridad como parte de sus plantillas de infraestructura y aplicarlos sin necesidad de trabajo adicional.

• Integración con canalizaciones CI/CD

Las empresas utilizan canalizaciones CI/CD para crear, probar e implementar aplicaciones. Los siguientes servicios y capacidades de AWS se pueden integrar con sus canalizaciones CI/CD existentes para ayudar a mejorar la seguridad general del ciclo de creación.

1. AWS CodePipeline ayuda a gestionar el proceso de lanzamiento e integra comprobaciones de seguridad en varias etapas.
2. Amazon CodeGuru Reviewer puede realizar revisiones de código automatizadas para identificar vulnerabilidades de seguridad y sugerir las correcciones correspondientes.
3. AWS CodeBuild se puede configurar para ejecutar análisis y pruebas de seguridad como parte del proceso de compilación.
4. La función de análisis de Amazon ECR al enviar puede analizar automáticamente las imágenes de contenedores en busca de vulnerabilidades cuando se envían al registro satisfactorio o al registro de contenedores.

• Respuesta y corrección automatizadas de AWS Security Hub

La respuesta y corrección automáticas de AWS Security Hub le permiten responder a los hallazgos de seguridad tomando medidas automáticamente. Se basa en documentos de automatización de AWS Systems Manager para resolver problemas de seguridad comunes. Por ejemplo, si Security Hub detecta una regla de grupo de seguridad demasiado permisiva, puede editarla automáticamente para restringir el acceso.

Prácticas recomendadas para AWS Security

AWS, al ser ampliamente utilizado, es un objetivo principal para los atacantes. Analicemos algunas de las prácticas recomendadas que se deben implementar al utilizar AWS Security.

N.º 1. Implementación del acceso con privilegios mínimos

El principio del privilegio mínimo establece que se debe proporcionar el permiso mínimo absolutamente necesario para que los usuarios y los servicios puedan realizar su trabajo. AWS proporciona AWS Identity and Access Management (IAM) para la creación de políticas que ayudarán a restringir el acceso en función de condiciones específicas. Sin embargo, estas políticas deben revisarse y auditarse periódicamente para garantizar que sean adecuadas y estén actualizadas con los últimos estándares.

N.º 2. Proteger la infraestructura de red

Las nubes privadas virtuales (VPC) deben comprobarse y configurarse adecuadamente para mantener la seguridad de la infraestructura del usuario. Los administradores de AWS pueden utilizar grupos de seguridad y listas de control de acceso a la red (NACL) para controlar el tráfico entrante y saliente. Para proteger los recursos confidenciales, se debe implementar la segmentación de la red utilizando subredes públicas y privadas y colocando los recursos en subredes privadas según la importancia de los recursos y el caso de uso empresarial.

#3. Estrategias de protección y cifrado de datos

Los datos deben cifrarse tanto en reposo como en tránsito. Las empresas pueden utilizar el servicio AWS Key Management para crear y gestionar claves de cifrado. El cifrado predeterminado debe estar habilitado para que los datos se cifren en reposo en los buckets de Amazon S3 y EBS. Además, los desarrolladores pueden utilizar los protocolos SSL/TLS para cifrar los datos en tránsito. Para controlar quién puede acceder a los datos de S3, AWS proporciona políticas de buckets y listas de control de acceso.

#4. Supervisión y respuesta a incidentes

Las organizaciones pueden habilitar el registro y la supervisión detallados a través de AWS CloudTrail, Amazon CloudWatch y AWS Config. Además, la organización debe recibir una alerta cuando se detecte automáticamente una actividad sospechosa, y se debe utilizar Amazon GuardDuty para la detección inteligente de amenazas.

#5. Evaluación continua de la seguridad y cumplimiento normativo

AWS recomienda programar evaluaciones de seguridad periódicas dentro de la organización. La empresa puede utilizar Amazon Inspector, un servicio de evaluación de seguridad para evaluar vulnerabilidades. Además, es posible que la empresa desee utilizar herramientas de AWS y de terceros para auditar continuamente el uso de AWS, lo que incluye AWS Audit Manager, con el fin de cumplir con las políticas y normas de seguridad de la organización.

¿Por qué SentinelOne para la seguridad de AWS?

SentinelOne es una solución líder utilizada por empresas de todo el mundo para proteger la infraestructura de AWS. Puede ayudar a las empresas a cubrir las brechas de seguridad mediante el uso de herramientas avanzadas de detección de amenazas junto con capacidades de respuesta automatizada en varios servicios de AWS. Esto incluye instancias EC2, contenedores o aplicaciones en contenedores y funciones sin servidor que utilizan AWS Lambda.

SentinelOne utiliza modelos avanzados de aprendizaje automático y análisis de comportamiento para identificar y detener ataques de seguridad sofisticados o violaciones de datos. La herramienta se puede integrar fácilmente con servicios de AWS como AWS CloudTrail y AWS GuardDuty. Su fácil integración facilita a las empresas la adopción de la herramienta.

SentinelOne puede detectar exploits de día cero junto con malware sin archivos (malware que no necesita archivos ejecutables en el sistema) en la infraestructura de la nube, lo que añade una capa adicional de defensa a los controles de seguridad existentes. Dado que la herramienta utiliza una arquitectura nativa de la nube, el rendimiento de AWS apenas se ve afectado.

Conclusión

AWS Security no es una palabra elegante utilizada por los ingenieros, sino una solución de seguridad ofrecida por AWS para garantizar que los datos y las aplicaciones almacenados/alojados en AWS estén a salvo de las amenazas. AWS Security Framework es un proceso de varios niveles que ayuda a las empresas a detectar y resolver problemas de seguridad en la infraestructura de AWS. Esto no se consigue solo con un par de herramientas, sino con una variedad de herramientas y múltiples directrices para garantizar que los datos confidenciales no caigan en manos equivocadas.

El marco de seguridad de AWS también se encarga de las necesidades de automatización y escalabilidad de las organizaciones. Proporciona servicios como AWS Config, CloudFormation y Systems Manager que ayudan a las organizaciones a integrar la seguridad como un servicio de infraestructura como código. También ayuda a gestionar la uniformidad de las políticas de seguridad en varias cuentas de AWS de la misma organización.

"

FAQs