Seguridad en la nube AWS
Henry Alvarado
Solutions Architect
Responsabilidad compartida
• Instalaciones
• Seguridad Física
• Infraestructura Física
• Infraestructura de Red
• Infraestructura de Virtualización
AWS Cliente • Sistema Operativo
• Aplicación
• Reglas de Firewall (SG)
• Firewall del Sistema Operativo
• Configuración de Red
• Administración de cuentas
Certificaciones AWS
Certificaciones AWS
• Basadas en el modelo de responsabilidad compartida
• Ambiente AWS
– SOC 1 (SSAE 16 & ISAE 3204) Type II Audit (was SAS70)
– SOC 2 Audit
– SOC 3 Audit (Nuevo desde 2013)
– ISO 27001 (Certificación)
– Payment Card Industry Data Security Standard (PCI DSS) Level 1 Service Provider
– FedRAMP (FISMA), ITAR, FIPS 140-2
Clientes implementaron varias aplicaciones certificadas:
– Sarbanes-Oxley (SOX)
– HIPAA (healthcare)
– FISMA (US Federal Government)
– DIACAP MAC III Sensitive IATO
Certificación AWS
Iniciativas Adicionales
• Cuestionario del “Cloud Security Alliance” (CSA) – Respuesta en “Risk and Compliance Whitepaper”
• Motion Picture Association of America (MPAA) – Mejores prácticas para almacenar, procesar y distribuir contenido.
Certificación ISO 27001
• ISO 27001/27002 certificación alcanzada 11/2010
• Sigue ISO 27002 guía de mejores prácticas
• Cubre el AWS “Information Security Management System” (ISMS)
• Cubre EC2, S3, VPC, EBS, RDS, DynamoDB, VM Import/Export, Direct Connect, Storage Gateway, Glacier, EMR, Elastichache, Redshift e IAM
• Auditoría de 3 años; auditoría actualizada cada 12 meses.
• Incluye todas las regiones.
PCI DSS Level 1 Service Provider • PCI DSS 2.0 compliant (Level 1 is >300,000 transactions/year)
• Inicialmente 4 servicios – ahora 14 servicios en el alcance
(Ago 2013):
– EC2, EBS, S3, VPC, RDS, ELB, IAM, Glacier, Direct Connect,
DynamoDB, SimpleDB, Elastic Map Reduce, and new in 2013:
CloudHSM, Redshift
• Certificada en todas las regiones AWS
• Ciclo de actualización es anual
Cómo AWS lo logró?
Seguridad Física de los Datacenters • Amazon ha construido datacenters de gran escala por muchos años
• Atributos importantes: – Instalaciones / datacenters no divulgados públicamente
– Robustos controles de perímetro
– Estricto control de acceso físico
– 2 o mas niveles de autenticación “two-factor”
• Acceso altamente controlado (“need-basis”)
• Todo acceso es registrado y revisado
• Separación de papeles – Empleados con acceso físico no poseen acceso lógico.
Gestión de configuración AWS
• La mayor parte de las actualizaciones son hechas de forma que no impacten al usuario.
• Los cambios son autorizados, registrados, probados, aprobados y documentados.
• AWS comunicará vía email o a través del AWS Service Health Dashboard (http://status.aws.amazon.com/) cuando exista una posibilidad de afectar a los clientes.
Los clientes son responsables por el control de cambios en sus ambientes!
• Sistema Operativo del Host (debajo del hypervisor)
– Accesos individuales SSH con llave, usando Bastion Host para administradores AWS.
– Todo acceso es registrado y auditado.
• Guest (a.k.a. Instancia) Sistema Operativo
– Controlado por el cliente (credenciales root/administrator son del cliente)
– Administradores AWS no poseen credenciales de acceso.
– Par de llaves generadas y administradas por el cliente
• Firewall Stateful
– Firewall de entrada es obligatorio, por defecto todo acceso es negado (En VPC también existe firewall de salida)
– El cliente controla la configuración de los firewalls a través de los Security Groups • Signed API calls
– Es necesario usar certificado X.509 o las Secret Keys del usuario.
Seguridad en EC2
Interfaces Físicas
Cliente 1
Hypervisor
Cliente 2 Cliente n …
… Interfaces Virtuales
Firewall
Cliente 1 Security Groups
Cliente 2 Security Groups
Cliente n Security Groups
Amazon EC2 Instance Isolation
• Todo dispositivo de almacenamiento debe pasar por este proceso.
• Técnicas utilizadas:
– DoD 5220.22-M (“National Industrial Security Program Operating Manual”)
– NIST 800-88 (“Guidelines for Media Sanitation”)
• Finalmente
– Desmagnetización
– Destrucción física
Descarte de dispositivos de almacenamiento
• Security Groups (Reglas de Firewall) • Tráfico de entrada necesita ser
explícitamente especificado por protocolo, puerto y Security Group (SG)
• VPC agrega filtros de salida • VPC también agrega “Network Access Control
Lists” (ACLs): filtros “stateless” de entrada y salida.
• OS Firewall (e.g., iptables) también puede ser implementado • Capa de seguridad controlada por el
usuario • Control de acceso granular para hosts
específicos • Registro de eventos (log)
Seguridad en el flujo de tráfico de red
Encrypted File System
Encrypted Swap File
OS
Fire
wal
l
Am
azo
n S
ecu
rity
Gro
up
s
VP
C N
etw
ork
AC
L
Inbound Traffic
Amazon EC2 Instancias
• Tráfico confidencial debería ser controlado con criptografía. • Tráfico hacia la red corporativa, debería ser encapsulado dentro de túneles VPN.
Red Corporativa
Tráfico Internet
VPN
Confidencialidad en el tráfico de red
Creando arquitecturas seguras
• Servicios escalables y tolerantes a fallas
• Todos los datacenters están siempre activos (“always on”) – No tenemos “Disaster Recovery Datacenter”
– Administrados bajo los mismo estándares
• Conectividad robusta con Internet – Cada AZ posee proveedores de servicios (Tier 1) redundantes
– Infraestructura de red confiable
AWS está construida para “Disponibilidad continua”
• Usuarios y Grupos dentro de las cuentas
• Credenciales únicas de seguridad
• Llaves de acceso
• Login/Password
• Dispositivo MFA opcional
• Políticas de control de acceso a las APIs AWS
• Altamente integrada con algunos servicios
• S3: Políticas sobre objetos y buckets
• Consola de administración AWS soporta log on de usuario
• No está pensado para Sistemas Operativos o aplicaciones
• Para esto, utilizar: LDAP, Active Directory/ADFS, etc...
AWS Identity and Access Management
• Credenciales de seguridad temporales, conteniendo: Identidad para autenticación
Políticas de acceso para control de permisos
Expiración Configurable (1 – 36 horas)
• Soporta: Identidades AWS (incluyendo usuarios IAM)
Federación de identidades (autentica usuarios de los clientes)
• Escala para millones de usuarios – No necesita crear una identidad IAM para cada usuario.
• Casos de uso Federación de identidad para la APIs AWS
Aplicaciones para dispositivos móviles o navegadores
Aplicaciones con usuarios ilimitados
Credenciales de seguridad temporales (sesiones)
Sincronización de Identidad con IAM
Federación de Identidad AWS APIs
• Ayuda a prevenir que personas con conocimiento de su login y contraseña tengan acceso suplantando su identidad
• Protección adicional para la información de su cuenta
• Funciona con:
– Cuenta Master
– Usuarios IAM
• Integrado con:
– Consola de administración AWS
– Key pages en el Portal AWS
– S3 (Borrado con seguridad)
– Workspaces (NEW) Una opción de seguridad altamente recomendada
Autenticación Multi-Fator AWS
Capa Web
Capa de Aplicación
Capa de Base de datos
Únicamente puertos 80 y 443 abiertos a
internet
Staff de ingeniería tiene acceso ssh a la capa de
aplicación que actúa como un Bastión
Todos los otros puertos de acceso de internet,
bloqueados por defecto
Amazon EC2 Security Group Firewall
Ejemplo de abordaje de seguridad Multi-capa
• Crear un ambiente aislado lógicamente en la infraestructura altamente escalable de Amazon. • Especificar su rango de direccionamiento IP privado dentro de una o más subredes públicas o
privadas. • Controlar el acceso de entrada y salida desde y hacia subredes individuales usando
“stateless” Network Access Control Lists • Proteger sus instancias con filtros “stateful” de entrada y salida de tráfico usando Security
Groups • Vincular una dirección IP Elástica (EIP) a cualquier instancia en su VPC para que ella sea
alcanzable directamente desde internet. • Unir su VPC con su infraestructura de TI on-premises bajo estándares de la industria para
conexiones VPN IPSEC cifradas. • Utilizar un wizard para fácilmente crear su VPC en 4 topologías diferentes.
Amazon Virtual Private Cloud (VPC)
Controles de seguridad de red en VPC
• Opción para garantizar que host físicos no son compartidos por otros clientes
• $2/hr flat fee por región + specific dedicated pricing
• Opción de identificar instancias específicas como dedicadas.
• Opción de configurar toda una VPC como dedicada.
http://aws.amazon.com/dedicated-instances/
VPC – Instancias dedicadas
• Diseño con menor cantidad de privilegios
• SOA design
• Clasificar los recursos y proteger de acuerdo a ellos
• Seguridad en todas las capas
• Inspeccione/verifique lo que usted imagina/espera
Recomendaciones:
• Respuestas a muchas preguntas de seguridad y privacidad • Security whitepaper • Risk and Compliance whitepaper
• Boletines de Seguridad
• Penetration testing por el cliente
• Mejores prácticas de seguridad
• Más informaciones: • AWS Identity & Access Management (AWS IAM)
• AWS Multi-Factor Authentication (AWS MFA)
AWS Security and Compliance Center (http://aws.amazon.com/security/)
• Converse con nosotros sobre sus preguntas de seguridad
• Arquitectos de Soluciones especialistas en seguridad y conformidad, están disponibles para hablar con usted cuando lo necesite.
Recursos Adicionales
• Preguntas sobre nuestras certificaciones y
conformidades?
• Otras certificaciones necesarias que usted considere que
debamos explorar?
Sus sugerencias/dudas son *muy* importantes…
Gracias! aws.amazon.com/security
Henry Alvarado
• Email: gomhenry@amazon.