¿Qué es AWS Security Framework?

La tecnología en la nube ha conquistado el mundo en los últimos años. Las empresas habilitadas por la tecnología han migrado a la nube o están en proceso de hacerlo. Una de las principales razones de esta rapidez es la facilidad de uso, menor preocupación por la gestión de la infraestructura, ausencia de problemas de escalabilidad y eficiencia de costos. Toda moneda tiene dos caras, y la tecnología en la nube no es la excepción. La tecnología en la nube enfrenta su propio conjunto de desafíos. El mayor de todos es la seguridad en la nube.

AWS, también conocido como Amazon Web Services, es un proveedor de servicios en la nube y tiene la mayor cuota de mercado en 2024. Actualmente, AWS posee el 32% de la cuota de mercado, y la razón de este liderazgo no son los beneficios que ofrece la tecnología en la nube, sino la cantidad de herramientas y opciones de integración que proporciona. AWS ofrece servicios para casi todo lo que se pueda imaginar, incluyendo el envío de mensajes, la gestión de usuarios, la creación de máquinas virtuales, entre otros.

En esta publicación, analizaremos qué es el AWS Security Framework, cómo funciona y por qué las empresas lo necesitan. También revisaremos diversas formas de proteger sus aplicaciones web y sin servidor, junto con diferentes herramientas y tecnologías que AWS ofrece para automatizar el proceso de DevSecOps.

Gestión de identidades y accesos en AWS

Las empresas con cientos de empleados necesitan una herramienta adecuada para gestionar sus identidades y cómo pueden acceder a diferentes recursos. Los empleados deben tener ciertos niveles de acceso según el recurso o dato que necesiten, y para lograrlo, se requiere IAM. En esta sección, analizaremos cómo funciona AWS IAM.

1. AWS Identity and Access Management (IAM): IAM es utilizado por las empresas para controlar el acceso a los recursos de AWS o a los datos almacenados en AWS por motivos de seguridad. Las funcionalidades de IAM pueden ser accedidas mediante la interfaz de usuario de AWS o la API. Esta herramienta ayuda a los administradores a gestionar usuarios, claves de acceso y permisos de forma centralizada, permitiéndoles hacer más y reducir la complejidad.
2. AWS Single Sign-On (SSO): Las cuentas y aplicaciones de AWS también pueden gestionarse desde una única fuente utilizando la base en la nube, el servicio AWS Single Sign-On (SSO), que facilita la administración de cuentas SSO de AWS.
3. AWS Organizations para seguridad multi-cuenta: Una organización puede tener varias cuentas de AWS bajo la cuenta raíz o principal. El servicio AWS Organizations se proporciona para gestionar todas estas cuentas. Esto suele utilizarse cuando las empresas adquieren pequeñas compañías o algunos equipos crean cuentas separadas según el caso de uso.

Implementación de seguridad de red y protección de datos en AWS

La seguridad de red es un proceso utilizado para proteger información sensible en las redes (que viaja desde el origen hasta el destino). La seguridad de red puede implementarse de varias formas, como mediante hardware, software y protocolos, con el objetivo final de proteger los datos. Algunas de las herramientas que AWS proporciona para la protección de datos son las siguientes:

Virtual Private Cloud

Amazon Virtual Private Cloud (VPC) ayuda a crear secciones aisladas dentro de la nube que estarán separadas del resto de la nube. Estas redes aisladas aíslan los recursos utilizados en la red, proporcionando subredes públicas y privadas, lo que ayuda a proteger los recursos sensibles del acceso directo a Internet.

Security Groups y Network Access Control Lists

AWS proporciona dos herramientas para controlar el tráfico dentro de la VPC. La primera son los Security Groups, en los que AWS ofrece un tipo de firewall virtual que opera a nivel de instancia y permite configurarlo para el tráfico entrante y controlar el tráfico saliente utilizando rango de IP, puerto, protocolo, etc. La otra son las Network Access Control Lists (NACLs). Estas reglas operan a nivel de red, en este caso, a nivel de subred, y también controlan tanto el tráfico entrante como el saliente.

AWS Private Link y VPC Endpoints

Si una organización o cliente desea acceder a un servicio de AWS sin utilizar Internet pública, puede usar AWS PrivateLink, que es uno de los VPC Endpoints. PrivateLink permite a los clientes acceder a servicios de forma segura, y también permite acceder a recursos de VPC desde los servicios de AWS y los servicios de VPC Endpoint.

Encriptación de datos

La encriptación de datos en AWS es una de las herramientas de seguridad más importantes que ayuda a proteger datos sensibles tanto en reposo (data at rest) como en tránsito (data in motion). Para proteger los datos en reposo, se pueden utilizar servicios de AWS como Amazon EBS, S3 y RDS, y pueden configurarse directamente para cifrar automáticamente los datos presentes en ellos (la habilitación directa del cifrado podría no funcionar para casos de uso de almacenamiento de datos complejos). Para el otro caso, cuando los datos están en tránsito, se pueden utilizar protocolos SSL/TLS junto con conexiones VPN para evitar que los atacantes intercepten los datos.

AWS Certificate Manager

Para que las técnicas de cifrado funcionen correctamente en AWS, se utiliza AWS Certificate Manager (ACM). ACM ayuda a aprovisionar, gestionar y desplegar certificados SSL/TLS y también a gestionar su renovación. Esto es ampliamente utilizado por empresas que usan AWS para desplegar aplicaciones web.

Tipos de AWS Security Framework

Algunos de los principales tipos de marcos de seguridad proporcionados por AWS son los siguientes:

1. AWS Cloud Adoption Framework (CAF)

AWS CAF ayuda a los proveedores a obtener una perspectiva de seguridad y definir mejores prácticas para la seguridad de los datos.  Está más enfocado en mostrar a las empresas cómo pueden asegurar la combinación adecuada de seguridad y negocio, cómo deben implementarse las soluciones IAM y cómo las empresas pueden cumplir con la normativa federal de los organismos gubernamentales. El marco es más una guía, que muestra a las empresas cómo pueden implementar e integrar la seguridad con sus negocios.

2. Marcos de cumplimiento

AWS cuenta con un programa formal de seguridad y cumplimiento, y tiene algunos requisitos definidos. AWS ha diseñado una serie de servicios de infraestructura para garantizar que las organizaciones cumplan con sus necesidades regulatorias, como PCI DSS (Payment Card Industry Data Security Standard para la industria de tarjetas de pago), HIPAA y SOC2.

3. AWS Control Tower

AWS Control Tower es un servicio que ayuda a los proveedores de servicios a configurar un entorno AWS multi-cuenta seguro y conforme. Esto puede utilizarse para establecer los principales roles de cuenta y la base de servicios que añaden capacidades para compartir cuentas, acceso a datos en la nube y gestionar la resolución de problemas de configuración de cuentas.

4. Data Protection Framework

AWS proporciona orientación y servicios para ayudar a proteger los datos sensibles y PII de la empresa. Esto incluye la protección de los datos tanto en reposo como en tránsito. Esto puede lograrse mediante la gestión de datos, incluyendo la gestión de claves de cifrado, monitoreo, controles de acceso y patrones de uso de dispositivos.

5. Incident Response Framework

La respuesta a incidentes es un plan utilizado por las empresas para gestionar, responder y recuperarse de un incidente de seguridad. Los usuarios de AWS pueden construir un sólido plan de respuesta a incidentes con la ayuda de AWS CloudTrail para la auditoría del uso de la API, Amazon GuardDuty para la detección de amenazas y AWS Systems Manager para automatizar acciones de respuesta.

6. Shared Responsibility Model

Esto no es un marco, sino un concepto importante que debe entenderse en términos de seguridad en AWS. Según este modelo, la responsabilidad de proteger los datos no recae solo en el proveedor de la nube, sino también en el usuario final.

Herramientas de AWS para monitoreo de seguridad, registro y cumplimiento

AWS ofrece múltiples servicios para registro, monitoreo y cumplimiento. Algunos de ellos son los siguientes:

#1. AWS CloudTrail

AWS CloudTrail se utiliza para el monitoreo y auditoría de seguridad. Proporciona un registro de cada acción que pueda haber ocurrido en cualquier servicio de AWS por parte de un usuario, rol o el propio servicio de AWS.

#2. Amazon CloudWatch

Amazon CloudWatch ayuda a monitorear los recursos y aplicaciones que el usuario ejecuta en AWS. Se utiliza para monitorear recursos de AWS como instancias Amazon EC2, tablas Amazon Dynamo DB y muchos más.

#3. AWS Config

AWS Config ayuda a realizar un seguimiento de la configuración de los recursos de AWS utilizados por los usuarios en sus cuentas. Básicamente compara las configuraciones del usuario con la configuración deseada, lo que ayuda a mantener la seguridad y el cumplimiento como objetivo final.

#4. AWS Artifact

Para obtener información relacionada con el cumplimiento de los informes de seguridad y cumplimiento de AWS y acuerdos en línea, AWS ofrece el servicio AWS Artifact. Este servicio proporciona a los usuarios múltiples documentos de cumplimiento, incluyendo certificaciones ISO de AWS, informes PCI (Payment Card Industry) e informes SOC (Service Organization Control).

#5. AWS Control Tower

AWS Control Tower proporciona un marco utilizado por las empresas para configurar un entorno AWS multi-cuenta. Garantiza que se tenga una política multi-cuenta conforme y bien gobernada, manteniendo una política uniforme en todas las cuentas y unidades organizativas.

#6. AWS Audit Manager

AWS Audit Manager es un servicio que monitorea el uso de AWS para facilitar la evaluación de riesgos y el cumplimiento de regulaciones y estándares de la industria. Recopila evidencia automáticamente, reduciendo así el esfuerzo manual necesario para prepararse para una auditoría.

Detección de amenazas y respuesta a incidentes en entornos AWS

La capacidad de detectar y responder rápidamente a amenazas de seguridad es importante. Algunas de las herramientas que AWS ofrece para este propósito son las siguientes:

• Amazon GuardDuty

AWS proporciona a los usuarios un servicio inteligente de detección de amenazas conocido como Amazon GuardDuty. Esta herramienta monitorea continuamente cualquier actividad sospechosa o comportamiento no autorizado en la cuenta de AWS. Este servicio puede analizar cualquier cantidad de registros de las fuentes de datos de AWS utilizando aprendizaje automático, detección de anomalías e inteligencia de amenazas integrada.

• AWS Security Hub

Pueden surgir múltiples problemas de seguridad en su entorno AWS. Para identificar los más críticos, el administrador puede utilizar AWS Security Hub, que proporciona una visión general de la postura de seguridad y organiza y prioriza las alertas para amenazas críticas.

• Amazon Detective

Para investigaciones de seguridad mucho más rápidas, las organizaciones pueden utilizar Amazon Detective, que utiliza aprendizaje automático y teoría de grafos para construir un conjunto vinculado de datos a partir de los recursos de AWS.

• Amazon Macie

La protección de datos es una necesidad absoluta para cualquier organización. Amazon proporciona Amazon Macie, que utiliza aprendizaje automático y coincidencia de patrones para proteger los datos sensibles en AWS. También puede proporcionar una lista de los buckets de Amazon S3 que podrían contener los datos y que están sin cifrar o accesibles públicamente (es decir, mal configurados).

• AWS IoT Device Defender

Al utilizar dispositivos IoT, las organizaciones deben tener cuidado con problemas como certificados de identidad compartidos entre varios dispositivos o dispositivos con tráfico saliente anormalmente alto que podría indicar que están participando en un ataque DDoS. Estos problemas son gestionados automáticamente por AWS IoT Device Defender, asegurando así la infraestructura de hardware.

Cómo proteger aplicaciones web y sin servidor en AWS

Los servicios web son comunes hoy en día, donde los desarrolladores utilizan un servidor web para desplegar aplicaciones, pero el serverless es un concepto nuevo. En entornos sin servidor, los desarrolladores no tienen que gestionar ni mantener la infraestructura; todo lo realiza el proveedor de la nube. Analicemos los servicios clave y sus roles que pueden utilizarse para proteger sus aplicaciones web y sin servidor:

1. AWS WAF (Web Application Firewall)

Las amenazas web comunes pueden afectar la disponibilidad de su aplicación, comprometer su seguridad o causar un consumo excesivo de recursos. AWS WAF protege nuestra aplicación de todas estas amenazas. Permite a los usuarios crear reglas de seguridad para controlar el tráfico de bots y bloquear patrones de ataque comunes, como la inyección SQL o el cross-site scripting.

2. Amazon Inspector

Uno de los servicios de AWS que nos ayuda a garantizar el cumplimiento es Amazon Inspector, que analiza la exposición de la aplicación, vulnerabilidades y mejores prácticas. Amazon Inspector proporciona un informe detallado de todo esto y su nivel de gravedad. Estos informes también incluyen sugerencias sobre cómo resolver los problemas.

3. AWS Shield

AWS Shield es un servicio de protección contra ataques de denegación de servicio distribuido (DDoS) que tiene como objetivo minimizar el tiempo de inactividad y la latencia de la aplicación. Protege las aplicaciones que se ejecutan en AWS de todo tipo de ataques DDoS.

4. AWS Firewall Manager

AWS Firewall Manager facilita la configuración y gestión centralizada de AWS WAF, AWS Shield Advanced y los grupos de seguridad de Amazon VPC en sus cuentas y aplicaciones. AWS Firewall Manager simplifica la gestión de múltiples reglas de seguridad y protege las cargas de trabajo de forma continua.

5. AWS Network Firewall

AWS Network Firewall facilita el despliegue de protecciones de red para todas las Amazon Virtual Private Clouds. Con AWS Network Firewall, puede crear políticas de seguridad con reglas de firewall que proporcionan un control detallado sobre el tráfico de red en sus VPCs.

Diferentes herramientas para implementar automatización de seguridad y DevSecOps

Es importante integrar la automatización de seguridad en el proceso DevOps para lograr una postura de seguridad más robusta. Algunas de las herramientas de AWS que nos ayudan en esto son las siguientes:

• AWS Systems Manager

AWS Systems Manager es un servicio de gestión que le ayuda a recopilar automáticamente el inventario de software, aplicar parches al sistema operativo, crear imágenes del sistema y configurar sistemas operativos Windows y Linux.

• AWS CloudFormation

AWS CloudFormation proporciona un lenguaje común para definir y aprovisionar recursos de AWS y aplicaciones de terceros en su entorno en la nube. En términos de seguridad, CloudFormation le permite definir controles de seguridad como parte de sus plantillas de infraestructura y hacerlos cumplir sin necesidad de trabajo adicional.

• Integración con pipelines CI/CD

Las empresas utilizan pipelines CI/CD para construir, probar y desplegar aplicaciones. Los siguientes servicios y capacidades de AWS pueden integrarse con sus pipelines CI/CD existentes para ayudar a mejorar la seguridad general del ciclo de construcción.

1. AWS CodePipeline ayuda a gestionar el proceso de lanzamiento e integra controles de seguridad en varias etapas.
2. Amazon CodeGuru Reviewer puede realizar revisiones de código automatizadas para identificar vulnerabilidades de seguridad y sugerir correcciones en consecuencia.
3. AWS CodeBuild puede configurarse para ejecutar análisis y pruebas de seguridad como parte del proceso de construcción.
4. La función de escaneo en push de Amazon ECR puede analizar automáticamente las imágenes de contenedores en busca de vulnerabilidades cuando se suben al registro de contenedores.

• Respuesta y remediación automatizada de AWS Security Hub

La respuesta y remediación automática de AWS Security Hub le permite responder a hallazgos de seguridad tomando medidas automáticamente. Se basa en documentos de automatización de AWS Systems Manager para resolver problemas de seguridad comunes. Por ejemplo, si Security Hub detecta una regla de grupo de seguridad demasiado permisiva, puede editar automáticamente la regla para restringir el acceso.

Mejores prácticas para la seguridad en AWS

AWS, al ser ampliamente utilizado, es un objetivo principal para los atacantes. Analicemos algunas de las mejores prácticas que deben implementarse al utilizar la seguridad de AWS.

#1. Implementación de acceso de menor privilegio

El principio de menor privilegio establece que se debe proporcionar el mínimo de permisos absolutamente necesarios para que los usuarios y servicios completen su trabajo. AWS proporciona AWS Identity and Access Management (IAM) para la creación de políticas que ayudarán a restringir el acceso según condiciones específicas. Sin embargo, estas políticas deben revisarse y auditarse periódicamente para asegurarse de que sean apropiadas y estén actualizadas con los últimos estándares.

#2. Protección de la infraestructura de red

Las Virtual Private Clouds (VPCs) deben ser revisadas y configuradas adecuadamente para mantener la seguridad de la infraestructura del usuario. Los administradores de AWS pueden utilizar grupos de seguridad y listas de control de acceso de red (NACLs) para controlar el tráfico entrante y saliente. Para proteger los recursos sensibles, se debe implementar la segmentación de red utilizando subredes públicas y privadas y ubicando los recursos en subredes privadas según la criticidad del recurso y el caso de uso empresarial.

#3. Estrategias de protección y cifrado de datos

Los datos deben cifrarse tanto en reposo como en tránsito. Las empresas pueden utilizar el servicio de gestión de claves de AWS para crear y gestionar claves de cifrado. El cifrado predeterminado debe habilitarse para que los datos estén cifrados en reposo en los buckets de Amazon S3 y EBS. Además, los desarrolladores pueden utilizar los protocolos SSL/TLS para cifrar los datos en tránsito. Para controlar quién puede acceder a los datos de S3, AWS proporciona políticas de bucket y listas de control de acceso.

#4. Monitoreo y respuesta a incidentes

Las organizaciones pueden habilitar el registro y monitoreo detallado a través de AWS CloudTrail, Amazon CloudWatch y AWS Config. Además, la organización debe recibir alertas cuando se detecte automáticamente actividad sospechosa, y se debe utilizar Amazon GuardDuty para la detección inteligente de amenazas.

#5. Evaluación continua de seguridad y cumplimiento

AWS recomienda programar evaluaciones de seguridad periódicas dentro de la organización. La empresa puede utilizar Amazon Inspector, un servicio de evaluación de seguridad para la evaluación de vulnerabilidades. Además, la empresa puede utilizar herramientas de AWS y de terceros para auditar continuamente el uso de AWS, incluyendo AWS Audit Manager, para cumplir con las políticas y estándares de seguridad de la organización.

¿Por qué SentinelOne para la seguridad en AWS?

SentinelOne es una solución líder utilizada por empresas de todo el mundo para proteger la infraestructura de AWS. Puede ayudar a las empresas a cubrir brechas de seguridad utilizando herramientas avanzadas de detección de amenazas junto con capacidades de respuesta automatizada en varios servicios de AWS. Esto incluye instancias EC2, contenedores o aplicaciones contenerizadas y funciones sin servidor utilizando AWS Lambda.

SentinelOne utiliza modelos avanzados de aprendizaje automático y análisis de comportamiento para identificar y detener ataques de seguridad sofisticados o filtraciones de datos. La herramienta puede integrarse fácilmente con servicios de AWS como AWS CloudTrail y AWS GuardDuty. La facilidad de integración facilita la adopción de la herramienta por parte de las empresas.

SentinelOne puede detectar exploits de día cero junto con malware fileless (malware que no requiere archivos ejecutables en el sistema) en la infraestructura en la nube, lo que añade una capa adicional de defensa a los controles de seguridad existentes. Como la herramienta utiliza arquitectura nativa en la nube, el rendimiento de AWS apenas se ve afectado.

Realizar un recorrido

Protección de cargas de trabajo en la nube impulsada por IA (CWPP) para servidores, máquinas virtuales y contenedores, que detecta y detiene amenazas en tiempo de ejecución en tiempo real.

Conclusión

La seguridad en AWS no es una palabra de moda utilizada por los ingenieros; es una solución de seguridad ofrecida por AWS para garantizar que los datos y aplicaciones almacenados/alojados en AWS estén protegidos de actores de amenazas. El AWS Security Framework es un proceso multinivel que ayuda a las empresas a identificar y resolver problemas de seguridad en la infraestructura de AWS. Esto no se logra solo con un par de herramientas, sino con una variedad de herramientas y múltiples directrices para garantizar que los datos sensibles no caigan en manos equivocadas.

El AWS Security Framework también se encarga de las necesidades de automatización y escalabilidad de las organizaciones. Proporciona servicios como AWS Config, CloudFormation y Systems Manager que ayudan a las organizaciones a integrar la seguridad como un servicio de Infraestructura como Código. También ayuda a gestionar la uniformidad de las políticas de seguridad en varias cuentas de AWS bajo la misma organización.