Seguridad en la nube AWS

Henry Alvarado

Solutions Architect

Responsabilidad compartida

• Instalaciones

• Seguridad Física

• Infraestructura Física

• Infraestructura de Red

• Infraestructura de Virtualización

AWS Cliente • Sistema Operativo

• Aplicación

• Reglas de Firewall (SG)

• Firewall del Sistema Operativo

• Configuración de Red

• Administración de cuentas

Certificaciones AWS

Certificaciones AWS

• Basadas en el modelo de responsabilidad compartida

• Ambiente AWS

– SOC 1 (SSAE 16 & ISAE 3204) Type II Audit (was SAS70)

– SOC 2 Audit

– SOC 3 Audit (Nuevo desde 2013)

– ISO 27001 (Certificación)

– Payment Card Industry Data Security Standard (PCI DSS) Level 1 Service Provider

– FedRAMP (FISMA), ITAR, FIPS 140-2

Clientes implementaron varias aplicaciones certificadas:

– Sarbanes-Oxley (SOX)

– HIPAA (healthcare)

– FISMA (US Federal Government)

– DIACAP MAC III Sensitive IATO

Certificación AWS

Iniciativas Adicionales

• Cuestionario del “Cloud Security Alliance” (CSA) – Respuesta en “Risk and Compliance Whitepaper”

• Motion Picture Association of America (MPAA) – Mejores prácticas para almacenar, procesar y distribuir contenido.

Certificación ISO 27001

• ISO 27001/27002 certificación alcanzada 11/2010

• Sigue ISO 27002 guía de mejores prácticas

• Cubre el AWS “Information Security Management System” (ISMS)

• Cubre EC2, S3, VPC, EBS, RDS, DynamoDB, VM Import/Export, Direct Connect, Storage Gateway, Glacier, EMR, Elastichache, Redshift e IAM

• Auditoría de 3 años; auditoría actualizada cada 12 meses.

• Incluye todas las regiones.

PCI DSS Level 1 Service Provider • PCI DSS 2.0 compliant (Level 1 is >300,000 transactions/year)

• Inicialmente 4 servicios – ahora 14 servicios en el alcance

(Ago 2013):

– EC2, EBS, S3, VPC, RDS, ELB, IAM, Glacier, Direct Connect,

DynamoDB, SimpleDB, Elastic Map Reduce, and new in 2013:

CloudHSM, Redshift

• Certificada en todas las regiones AWS

• Ciclo de actualización es anual

Cómo AWS lo logró?

Seguridad Física de los Datacenters • Amazon ha construido datacenters de gran escala por muchos años

• Atributos importantes: – Instalaciones / datacenters no divulgados públicamente

– Robustos controles de perímetro

– Estricto control de acceso físico

– 2 o mas niveles de autenticación “two-factor”

• Acceso altamente controlado (“need-basis”)

• Todo acceso es registrado y revisado

• Separación de papeles – Empleados con acceso físico no poseen acceso lógico.

Gestión de configuración AWS

• La mayor parte de las actualizaciones son hechas de forma que no impacten al usuario.

• Los cambios son autorizados, registrados, probados, aprobados y documentados.

• AWS comunicará vía email o a través del AWS Service Health Dashboard (http://status.aws.amazon.com/) cuando exista una posibilidad de afectar a los clientes.

Los clientes son responsables por el control de cambios en sus ambientes!

• Sistema Operativo del Host (debajo del hypervisor)

– Accesos individuales SSH con llave, usando Bastion Host para administradores AWS.

– Todo acceso es registrado y auditado.

• Guest (a.k.a. Instancia) Sistema Operativo

– Controlado por el cliente (credenciales root/administrator son del cliente)

– Administradores AWS no poseen credenciales de acceso.

– Par de llaves generadas y administradas por el cliente

• Firewall Stateful

– Firewall de entrada es obligatorio, por defecto todo acceso es negado (En VPC también existe firewall de salida)

– El cliente controla la configuración de los firewalls a través de los Security Groups • Signed API calls

– Es necesario usar certificado X.509 o las Secret Keys del usuario.

Seguridad en EC2

Interfaces Físicas

Cliente 1

Hypervisor

Cliente 2 Cliente n …

… Interfaces Virtuales

Firewall

Cliente 1 Security Groups

Cliente 2 Security Groups

Cliente n Security Groups

Amazon EC2 Instance Isolation

• Todo dispositivo de almacenamiento debe pasar por este proceso.

• Técnicas utilizadas:

– DoD 5220.22-M (“National Industrial Security Program Operating Manual”)

– NIST 800-88 (“Guidelines for Media Sanitation”)

• Finalmente

– Desmagnetización

– Destrucción física

Descarte de dispositivos de almacenamiento

• Security Groups (Reglas de Firewall) • Tráfico de entrada necesita ser

explícitamente especificado por protocolo, puerto y Security Group (SG)

• VPC agrega filtros de salida • VPC también agrega “Network Access Control

Lists” (ACLs): filtros “stateless” de entrada y salida.

• OS Firewall (e.g., iptables) también puede ser implementado • Capa de seguridad controlada por el

usuario • Control de acceso granular para hosts

específicos • Registro de eventos (log)

Seguridad en el flujo de tráfico de red

Encrypted File System

Encrypted Swap File

OS

Fire

wal

l

Am

azo

n S

ecu

rity

Gro

up

s

VP

C N

etw

ork

AC

L

Inbound Traffic

Amazon EC2 Instancias

• Tráfico confidencial debería ser controlado con criptografía. • Tráfico hacia la red corporativa, debería ser encapsulado dentro de túneles VPN.

Red Corporativa

Tráfico Internet

VPN

Confidencialidad en el tráfico de red

Creando arquitecturas seguras

• Servicios escalables y tolerantes a fallas

• Todos los datacenters están siempre activos (“always on”) – No tenemos “Disaster Recovery Datacenter”

– Administrados bajo los mismo estándares

• Conectividad robusta con Internet – Cada AZ posee proveedores de servicios (Tier 1) redundantes

– Infraestructura de red confiable

AWS está construida para “Disponibilidad continua”

• Usuarios y Grupos dentro de las cuentas

• Credenciales únicas de seguridad

• Llaves de acceso

• Login/Password

• Dispositivo MFA opcional

• Políticas de control de acceso a las APIs AWS

• Altamente integrada con algunos servicios

• S3: Políticas sobre objetos y buckets

• Consola de administración AWS soporta log on de usuario

• No está pensado para Sistemas Operativos o aplicaciones

• Para esto, utilizar: LDAP, Active Directory/ADFS, etc...

AWS Identity and Access Management

• Credenciales de seguridad temporales, conteniendo: Identidad para autenticación

Políticas de acceso para control de permisos

Expiración Configurable (1 – 36 horas)

• Soporta: Identidades AWS (incluyendo usuarios IAM)

Federación de identidades (autentica usuarios de los clientes)

• Escala para millones de usuarios – No necesita crear una identidad IAM para cada usuario.

• Casos de uso Federación de identidad para la APIs AWS

Aplicaciones para dispositivos móviles o navegadores

Aplicaciones con usuarios ilimitados

Credenciales de seguridad temporales (sesiones)

Sincronización de Identidad con IAM

Federación de Identidad AWS APIs

• Ayuda a prevenir que personas con conocimiento de su login y contraseña tengan acceso suplantando su identidad

• Protección adicional para la información de su cuenta

• Funciona con:

– Cuenta Master

– Usuarios IAM

• Integrado con:

– Consola de administración AWS

– Key pages en el Portal AWS

– S3 (Borrado con seguridad)

– Workspaces (NEW) Una opción de seguridad altamente recomendada

Autenticación Multi-Fator AWS

Capa Web

Capa de Aplicación

Capa de Base de datos

Únicamente puertos 80 y 443 abiertos a

internet

Staff de ingeniería tiene acceso ssh a la capa de

aplicación que actúa como un Bastión

Todos los otros puertos de acceso de internet,

bloqueados por defecto

Amazon EC2 Security Group Firewall

Ejemplo de abordaje de seguridad Multi-capa

• Crear un ambiente aislado lógicamente en la infraestructura altamente escalable de Amazon. • Especificar su rango de direccionamiento IP privado dentro de una o más subredes públicas o

privadas. • Controlar el acceso de entrada y salida desde y hacia subredes individuales usando

“stateless” Network Access Control Lists • Proteger sus instancias con filtros “stateful” de entrada y salida de tráfico usando Security

Groups • Vincular una dirección IP Elástica (EIP) a cualquier instancia en su VPC para que ella sea

alcanzable directamente desde internet. • Unir su VPC con su infraestructura de TI on-premises bajo estándares de la industria para

conexiones VPN IPSEC cifradas. • Utilizar un wizard para fácilmente crear su VPC en 4 topologías diferentes.

Amazon Virtual Private Cloud (VPC)

Controles de seguridad de red en VPC

• Opción para garantizar que host físicos no son compartidos por otros clientes

• $2/hr flat fee por región + specific dedicated pricing

• Opción de identificar instancias específicas como dedicadas.

• Opción de configurar toda una VPC como dedicada.

http://aws.amazon.com/dedicated-instances/

VPC – Instancias dedicadas

• Diseño con menor cantidad de privilegios

• SOA design

• Clasificar los recursos y proteger de acuerdo a ellos

• Seguridad en todas las capas

• Inspeccione/verifique lo que usted imagina/espera

Recomendaciones:

• Respuestas a muchas preguntas de seguridad y privacidad • Security whitepaper • Risk and Compliance whitepaper

• Boletines de Seguridad

• Penetration testing por el cliente

• Mejores prácticas de seguridad

• Más informaciones: • AWS Identity & Access Management (AWS IAM)

• AWS Multi-Factor Authentication (AWS MFA)

AWS Security and Compliance Center (http://aws.amazon.com/security/)

• Converse con nosotros sobre sus preguntas de seguridad

• Arquitectos de Soluciones especialistas en seguridad y conformidad, están disponibles para hablar con usted cuando lo necesite.

Recursos Adicionales

• Preguntas sobre nuestras certificaciones y

conformidades?

• Otras certificaciones necesarias que usted considere que

debamos explorar?

Sus sugerencias/dudas son *muy* importantes…

Gracias! aws.amazon.com/security

Henry Alvarado

• Email: gomhenry@amazon.