La seguridad y Amazon Web Services

La seguridad en la nube puede ser confusa y por regla general hay una percepción de inseguridad esto no se alinea con la realidad. Actualmente la seguridad ofrecida a través de AWS se basa en premisas muy concretas como las siguientes:

• Seguridad Universal, es decir se aplica un nivel de seguridad alto a todo tipo de institución como gobiernos, empresas, usuarios domésticos, etc.
• Visible, los elementos de seguridad son accesibles y gestionados por el usuario a través del panel de control de AWS.
• Auditable, los servicios desplegados pueden ser auditados por software de terceros. Se pueden aplicar planes, políticas y procedimientos de seguridad. La gestión y análisis de logs puede ser parte del sistema de gestión de la seguridad.
• Transparente, actualmente AWS aplica las certificaciones de seguridad mundiales en todos sus sistemas, como ISO 27001 (Europa), SOC1,  SOC2 y SOC3 (EEUU).
• Distribuida, la seguridad es compartida, es decir hay una distribución de responsabilidades en la seguridad final de un servicio desplegado en AWS donde parte concierne a AWS y la otra parte al cliente.
• Familiar, las interfaces de uso de los elementos de seguridad son fáciles y simples de usar.

La seguridad es una pieza clave de cualquier servicio que se quiera desplegar. Actualmente se proporcionan diferentes mecanismos y sistemas para ayudar a una gestión personalizada de la seguridad. Por la parte de AWS aplica el nivel de seguridad máximo, y además proporciona mecanismos para que los servicios que se desplieguen en sus infraestructuras puedan aplicar los mismos niveles de seguridad.

La seguridad compartida

El concepto de seguridad compartida puede ser el que más confusión pueda generar y el que más claro debe estar.

La seguridad compartida se basa en el principio de responsabilidad por roles, donde cada rol tiene asociada su correspondientes obligaciones con y por la seguridad de su servicio.

En AWS hay dos roles principales: el rol que toma el propio AWS y el rol del cliente. Las responsabilidades para cada rol son las siguientes:

Es decir, la seguridad tiene que ser un concepto cuidado por todas las partes que participan en la solución. Por parte de AWS proporciona a través de su centro de seguridad el documento con todos los procesos que intervienen en esta área.

Por parte del cliente tiene que mantener el sistema operativo que haya desplegado actualizado y limpio de malware. Las aplicaciones tienen que estar actualizadas y ser resistentes a vulnerabilidades documentadas. Los grupos de seguridad deben ser gestionados correctamente. El firewall debe permitir acceso únicamente a los puertos empleados por la solución.

• Detección de fuego y extinción.
• Suministro eléctrico.
• Climatización y temperatura.
• Administración y monitorización de los equipos.
• Retirada y destrucción del almacenamiento.

• Disponibilidad de los sistemas.
• Respuesta ante incidentes.
• Auditoría interna.
• Disponibilidad de comunicaciones.

• Arquitectura de red segura. (ACL)
• Puntos de acceso entrada/salida seguros.
• Transmisión segura. (SSL)
• Segregación de seguridad de red con sistemas propios de Amazon AWS.
• Diseño de red tolerante a fallos.
• Protección y monitorización de red.
  • DDoS.
  • Man in the Middle.
  • IP Spoofing.
  • Port Scanning.
  • Packet sniffing.

• Revisión y auditoria de cuentas de acceso a consola AWS.
• Revisión de puertas traseras.
• Políticas de credenciales.

La configuración de red debe estar segmentada y aislada. Por último la administración de cuentas de gestión de los servicios de AWS debe ser protegida por el cliente.

Para todo lo concerniente AWS proporciona herramientas para llevar a cabo de una manera sencilla y amigable todos estos procesos.