Seguridad en la nube

Fondo

Crawford Technologies, Inc. (CrawfordTech) es proveedor de software independiente (ISV) desde hace más de 25 años. La innovación constante ha mantenido a CrawfordTech en la vanguardia de las tendencias tecnológicas. Desde sus inicios, CrawfordTech ha abordado el desarrollo de software y soluciones teniendo en cuenta estos cinco principios:

• Minimizar el costo total de propiedad (TCO)
• Proporcionar una ruta de actualización clara
• Aprovechar las fortalezas existentes.
• Equilibre la innovación con la confiabilidad.
• Garantizar la seguridad de nuestros clientes

Arquitectura

Este modelo compartido alivia la carga operativa de CrawfordTech y del cliente, ya que AWS opera, administra y controla los componentes desde el sistema operativo host y la capa de virtualización hasta la seguridad física de las instalaciones en las que opera el servicio. CrawfordTech asume la responsabilidad y la administración del sistema operativo invitado (incluidas las actualizaciones y los parches de seguridad), otro software de aplicación asociado, así como la configuración del firewall del grupo de seguridad proporcionado por AWS. CrawfordTech ha optado por ejecutar todo el hardware, la aplicación y el software del sistema virtualizados en una nube privada virtual (VPC) y ha considerado cuidadosamente los servicios elegidos como sus responsabilidades, los servicios de AWS utilizados, la integración de esos servicios en el entorno informático y las leyes y regulaciones aplicables.

Como se muestra en el gráfico siguiente, esta diferenciación de responsabilidad se conoce comúnmente como Seguridad “de” la Nube versus Seguridad “en” la Nube.

Responsabilidad de AWS “Seguridad de la nube”: AWS es responsable de proteger la infraestructura que ejecuta todos los servicios ofrecidos en la nube de AWS. Esta infraestructura está compuesta por el hardware, el software, las redes y las instalaciones que ejecutan los servicios de la nube de AWS.

Responsabilidad de CrawfordTech “Seguridad en la nube”: la responsabilidad de CrawfordTech está determinada por los servicios de AWS Cloud que ha seleccionado. Esto determinó la cantidad de trabajo de configuración que CrawfordTech tuvo que realizar como parte de sus responsabilidades de seguridad. Por ejemplo, un servicio como Amazon Elastic Compute Cloud (Amazon EC2) se clasifica como Infraestructura como servicio (IaaS) y, como tal, requirió que CrawfordTech realizara todas las tareas de configuración y administración de seguridad necesarias.

CrawfordTech es responsable de la administración del sistema operativo invitado (incluidas las actualizaciones y los parches de seguridad), cualquier software de aplicación o utilidades instaladas por CrawfordTech en las instancias y la configuración del firewall proporcionado por AWS (llamado grupo de seguridad) en cada instancia. Para los servicios abstraídos, como Amazon S3 y Amazon DynamoDB, AWS opera la capa de infraestructura, el sistema operativo y las plataformas, y CrawfordTech accede a los puntos finales para almacenar y recuperar datos. CrawfordTech es responsable de administrar sus datos (incluidas las opciones de cifrado), clasificar los activos y usar herramientas de IAM para aplicar los permisos adecuados.

Modelo seguro

Este modelo de responsabilidad compartida de CrawfordTech/AWS también se extiende a los controles de TI. Así como la responsabilidad de operar el entorno de TI es compartida entre AWS y sus clientes, también lo es la gestión, operación y verificación de los controles de TI. AWS ayuda a aliviar la carga de los controles operativos al administrar aquellos controles asociados con la infraestructura física implementada en el entorno de AWS que antes podían haber sido administrados por organizaciones de clientes individuales. Este cambio de la gestión de ciertos controles de TI a AWS da como resultado un (nuevo) entorno de control distribuido. CrawfordTech utiliza la documentación de control y cumplimiento de AWS para realizar sus procedimientos de evaluación y verificación de control según sea necesario. A continuación, se muestran ejemplos de controles administrados por AWS, CrawfordTech o ambos.

Controles heredados: controles que CrawfordTech hereda completamente de AWS.

• Controles físicos y ambientales

Controles compartidos: controles que se aplican tanto a la capa de infraestructura como a las capas de clientes, pero en contextos o perspectivas completamente separados. En un control compartido, AWS proporciona los requisitos para la infraestructura y CrawfordTech proporciona su propia implementación de control dentro del uso de los servicios de AWS. Algunos ejemplos incluyen:

• Gestión de parches: AWS es responsable de aplicar parches y reparar fallas dentro de la infraestructura, pero CrawfordTech es responsable de aplicar parches a sus aplicaciones y sistemas operativos invitados.
• Gestión de la configuración: AWS mantiene la configuración de sus dispositivos de infraestructura, pero CrawfordTech es responsable de configurar sus propios sistemas operativos invitados, bases de datos y aplicaciones.
• Concientización y capacitación: AWS capacita a sus empleados y CrawfordTech capacita a sus propios empleados.

Cumplimiento

Siga las mejores prácticas de IAM

• Utilice el servicio de administración de acceso e identidad de AWS, que permite a los usuarios administrar el acceso a los servicios y recursos de AWS de forma segura.
• Administre AWS creando grupos y usuarios y aplicando políticas de permisos granulares para brindar acceso limitado a las API y los recursos.
• Siga el enfoque de “mínimos privilegios” para la seguridad.
• Rotar claves de acceso y contraseñas.

Gestione el acceso a nivel de sistema operativo y mantenga seguras las instancias EC2

• Ejecute periódicamente una evaluación del inspector para generar un informe de vulnerabilidad a nivel del sistema operativo.
• Utilice el Administrador de parches del sistema para mantener actualizados los paquetes del sistema operativo.
• Aplique parches periódicamente a las instancias EC2 para proteger la infraestructura de errores y vulnerabilidades recién descubiertos.
• Siga los consejos de seguridad proporcionados por los proveedores de sistemas operativos RedHat, Suse, Microsoft, etc.

Encriptación

• Cifre todos los datos, ya sea en tránsito o en reposo.
• Utilice AWS KMS para almacenar claves de cifrado en reposo, generadas por AWS.
• Utilice Cloud HSM para proporcionar dispositivos cifrados por hardware para almacenar claves.
• Utilice los servicios de AWS que proporcionan cifrado en tránsito proporcionando puntos finales https que suministran cifrado de extremo a extremo.
• AWS Certificate Manager para crear un certificado SSL para el dominio público.

Siga las mejores prácticas de seguridad para los servicios de almacenamiento y bases de datos de AWS

• El almacenamiento RDS se cifrará en reposo.
• Restrinja el acceso a las instancias de RDS para disminuir el riesgo de actividades maliciosas como ataques de fuerza bruta, inyecciones de SQL o ataques DoS.
• El almacenamiento S3 se cifrará en reposo.
• La política S3 se utilizará para restringir el acceso al contenido de S3.
• Utilice AWS Macie para detectar y proteger datos confidenciales dentro de AWS-S3.
• Utilice AWS Parameter Store para almacenar credenciales y secretos específicos del entorno, a fin de lograr el uso de la administración de secretos para su aplicación nativa de la nube.

Seguridad de la red

• Utilice sistemas de detección de intrusiones (IDS) o sistemas de prevención de intrusiones (IPS) para permitir la detección y prevención de ataques a infraestructuras críticas como pasarelas de pago.
• Asegúrese de que los registros de flujo de VPC estén habilitados para monitorear el tráfico de red.
• Restringir el acceso por grupo de seguridad. (EC2, RDS, Elastic Cache, etc.)
• Utilice Guard Duty para supervisar las cuentas e infraestructuras de AWS de forma continua.

Seguridad de aplicaciones web

• Utilice firewalls de aplicaciones web (WAF) para proporcionar una inspección profunda de paquetes para el tráfico web.
• Utilice Amazon Inspector, un servicio de evaluación de seguridad automatizado que mejora la seguridad y el cumplimiento de las aplicaciones implementadas en AWS.

Habilitar la gestión de configuración

• Utilice AWS Config para auditar, evaluar y valorar los cambios de configuración dentro de AWS.

Monitoreo y alerta

• CloudTrail permite auditar y monitorear actividades autorizadas y no autorizadas dentro de la cuenta de AWS.
• Se pueden configurar alertas de CloudWatch para actividades maliciosas dentro de la cuenta de AWS y la infraestructura implementada dentro de AWS y los registros de aplicaciones.
• Configure alarmas de facturación para mantener a su equipo al tanto de la utilización de costos de cuentas o infraestructura específicas.

Cumplimiento, capacitación y certificación

• Utilice AWS Artifact para obtener acceso bajo demanda a los informes de cumplimiento de AWS.
• Capacitar y educar a los equipos que utilizan la plataforma en la nube de AWS para la implementación o son responsables de la infraestructura.

La implementación de estas mejores prácticas de seguridad en la nube a partir de las pautas proporcionadas por AWS ha permitido a CrawfordTech implementar las medidas de seguridad adecuadas, proporcionando prácticas de seguridad «de primera clase» con servicios «de clase mundial» en los que los clientes pueden confiar.