Date post: | 15-Aug-2015 |
Category: |
Technology |
Upload: | amazon-web-services-latin-america |
View: | 271 times |
Download: | 3 times |
Qué veremos el día de hoy
1. El modelo de responsabilidad compartida en la seguridad
2. Usar el alcance global y la disponibilidad de AWS
3. Construir una virtual private cloud segura
4. Usar AWS Identity and Access Management
5. Proteger su contenido en AWS
Seguridad en la nube de AWS – Mejores prácticas
1. El modelo de responsabilidad compartida en la seguridad
2. Usar el alcance global y la disponibilidad de AWS
3. Construir una virtual private cloud segura
4. Usar AWS Identity and Access Management
5. Proteger su contenido en AWS
Cada cliente comparte los mismos fundamentos de seguridad de AWS
AWS mantiene un ambiente formal controlado • SOC 1 Type II publicado cada 6 meses • SOC 2 Security y SOC 2 Availability cada 6 meses • Certificación ISO 27001 • Certificación ISO 9001 • Proveedor certificado en PCI DSS Nivel 1 • Certificación FedRAMP • HIPAA BAAs
Servicios base de AWS
Cómputo Almacena-miento
Bases de datos Redes
Infraestructura global de AWS Regiones
Zonas de disponibilidad Ubicaciones
al borde
AWS Foundation Services
Gestión de llaves cifradas
Cifrado de cliente y servidor
Protección de tráfico de red
Plataforma, Aplicaciones, Identity & Access Management
Sistema operativo, Redes y Configuración de Firewalls
Contenido del cliente C
lient
es
La seguridad es compartida entre AWS y los clientes
Los clientes son responsables de su seguridad EN
la nube
AWS se encarga de la seguridad de la plataforma
Servicios base de AWS
Cómputo Almacena-miento
Bases de datos Redes
Infraestructura global de AWS Regiones
Zonas de disponibilidad Ubicaciones
al borde
• Cultura de excelencia operacional y en seguridad
• Programa de auditorías y aseguramiento contínuo
• Protección de punto de acceso de AWS a larga escala
• Configuran las características de seguridad de AWS
• Tienen acceso a un mercado maduro de solciones
• Pueden implementar y gestionar sus propios controles
Los clientes se pueden enfocar en la seguridad que importa a su negocio
Gestión de llaves cifradas
Cifrado de cliente y servidor
Protección de tráfico de red
Plataforma, Aplicaciones, Identity & Access Management
Sistema operativo, Redes y Configuración de Firewalls
Contenido del cliente C
lient
es
Servicios base de AWS
Cómputo Almacena-miento
Bases de datos Redes
Infraestructura global de AWS Regiones
Zonas de disponibilidad Ubicaciones
al borde
Sus propias soluciones con cumplimiento
Puede lograr cumplimiento punto a punto, certificación y auditoría
Sus propios certificados
27001 y 9001
Sus propias auditorías
financieras o de tipo SOC si es
proveedor
• Logre el cumplimiento PCI, HIPAA y MPAA
• Certifíquese en ISO27001 en menor tiempo
• Audite sus controles clave, o publique sus propias certificaciones
Clie
ntes
Servicios base de AWS
Cómputo Almacena-miento
Bases de datos Redes
Infraestructura global de AWS Regiones
Zonas de disponibilidad Ubicaciones
al borde
• Cultura de excelencia operacional y en seguridad
• Programa de auditorías y aseguramiento contínuo
• Protección de punto de acceso de AWS a larga escala
Los clientes mantienen control de su propiedad intelectual y contenido • El personal de AWS no tiene acceso al contenido del cliente o al sistema operativo
huésped • Los clientes administran sus objetivos de privacidad como deseen, lea nuestros
whitepapers de seguridad en nuestro centro de compliance. • Seleccione la región geográfica de AWS sin replicación automática a ningún lado • Los clientes pueden encriptar su contenido, mantener la gestión y propiedad de las
llaves e implementar controles adicionales para proteger su contenido en AWS
La seguridad es nuestra prioridad número uno • La seguridad en Amazon está por encima, contamos con un CISO dedicado
y una fuerte cultura orientada a la excelencia operacional y análisis a la raíz de las cosas.
• Equipos de seguridad internos y dedicados, que constantemente revisan la seguridad de nuestros servicios y como ayudar a nuestros clientes a asegurar los suyos
Los clientes son dueños y tienen control total de su contenido
1. El modelo de responsabilidad compartida en la seguridad
2. Usar el alcance global y la disponibilidad de AWS
3. Construir una virtual private cloud segura
4. Usar AWS Identity and Access Management
5. Proteger su contenido en AWS
Seguridad en la nube de AWS – Mejores prácticas
Región US-WEST (N. California)
EU-WEST (Ireland) ASIA PAC (Tokyo)
ASIA PAC (Singapore)
US-WEST (Oregon)
SOUTH AMERICA (Sao Paulo)
US-EAST (Virginia)
GOV CLOUD
ASIA PAC (Sydney)
Los clientes pueden usar cualquier región de AWS al rededor del mundo
EU-CENTRAL (Frankfurt)
Zona de Disponibilidad
Cada región ofrece resiliencia y alta disponibilidad
US-WEST (N. California)
ASIA PAC (Tokyo)
ASIA PAC (Singapore)
US-WEST (Oregon)
SOUTH AMERICA (Sao Paulo)
US-EAST (Virginia)
GOV CLOUD
ASIA PAC (Sydney)
EU-WEST (Ireland)
EU-CENTRAL (Frankfurt)
Ubicacioes al borde
Dallas(2)
St.Louis Miami
Jacksonville Los Angeles (2)
Palo Alto
Seattle
Ashburn(2)
Newark New York (2)
Dublin
London(2) Amsterdam
Stockholm
Frankfurt Paris(2)
Singapore(2)
Hong Kong (2)
Tokyo
Sao Paulo
South Bend
San Jose
Osaka Milan
Sydney
Chennai Mumbai
Utilice las ubicaciones al borde para servir contenido más cerca de sus clientes
Rio de Janeiro
Melbourne
Taipei Manila
Asegurando su negocio en la nube de AWS
1. El modelo de responsabilidad compartida en la seguridad
2. Usar el alcance global y la disponibilidad de AWS
3. Construir una virtual private cloud segura
4. Usar AWS Identity and Access Management
5. Proteger su contenido en AWS
Cada región de AWS tiene múltiples zonas de disponibilidad Zo
na d
e D
ispo
nibi
lidad
A
Zona
de
Dis
poni
bilid
ad B
Su VPC cubre todas las zonas de disponibilidad en la región Zo
na d
e D
ispo
nibi
lidad
A
Zona
de
Dis
poni
bilid
ad B
Los clientes controlan los rangos de direcciones IP en su VPC
VPC A - 10.0.0.0/16
Seleccione el rango de IPs • Su propia sección privada y
aislada de la nube de AWS • Cada VPC tiene un espacio
privado de direcciones IPs • El bloque máxico CIDR que
puede asignar es /16 • Por ejemplo 10.0.0.0/16 –
esto permite 256*256 = 65,536 direcciones IP
Seleccione sus IPs estratégicamente • Una vez creado el espacio de
direcciones IP no se puede cambiar
• Piense en la superposición con otras VPCs o redes corporativas existentes
• No desperdicie el espacio de IPs, pero no limite su crecimiento tampoco
Zona
de
Dis
poni
bilid
ad A
Zona
de
Dis
poni
bilid
ad B
Nos vamos a concentrar en una sóla zona por el momento
VPC A - 10.0.0.0/16
Zona
de
Dis
poni
bilid
ad A
Segmente el espacio de direcciones IP en múltiples subnets
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
NAT
10.0.5.0/24 10.0.4.0/24
EC2
EC2 Web
Zona
de
Dis
poni
bilid
ad A
Ubique sus instancias EC2 en subredes de acuerdo a su diseño
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
NAT
10.0.5.0/24
Jump
10.0.4.0/24
EC2 App Log
EC2 Web
Zona
de
Dis
poni
bilid
ad A
Use los grupos de seguridad de VPC para proteger sus instancias
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
NAT
10.0.5.0/24
Jump
10.0.4.0/24
EC2 App
“Los servidores web se pueden conectar a los de aplicación por
el puerto 8080”
Log
EC2 Web
Zona
de
Dis
poni
bilid
ad A
Cada instancia puede estar hasta en 5 grupos de seguridad
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
NAT
10.0.5.0/24
Jump
10.0.4.0/24
EC2 App
“Permitir conexiones de salida al servidor
de logs”
Log
EC2 Web
Zona
de
Dis
poni
bilid
ad A
“Los servidores web se pueden conectar a los de aplicación por
el puerto 8080”
Use grupos de seguridad diferentes para aplicativos y gestión
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
NAT
10.0.5.0/24
Jump
10.0.4.0/24
EC2 App
“Permite SSH y ICMP de los servidores en el grupo Jump
Hosts”
Log
EC2 Web
Zona
de
Dis
poni
bilid
ad A
“Permitir conexiones de salida al servidor
de logs”
“Los servidores web se pueden conectar a los de aplicación por
el puerto 8080”
Los grupos de seguridad mantienen el estado en las reglas de entrada y salida
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
NAT
10.0.5.0/24
Jump
10.0.4.0/24
EC2 App Log
EC2 Web
Grupos de seguridad • Operan a nivel instancia • Sólo soportan reglas ALLOW • Conservan el estado • Máximo 50 reglas por grupo de
seguridad
Zona
de
Dis
poni
bilid
ad A
El ruteador de VPC va a permitir el ruteo entre subredes
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
Router
NAT
10.0.5.0/24
Jump
10.0.4.0/24
EC2 App Log
EC2 Web
Zona
de
Dis
poni
bilid
ad A
Use Network Access Control Lists to restrict internal VPC traffic
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
Router
NAT
10.0.5.0/24
Jump
10.0.4.0/24
EC2 App Log
EC2 Web
Zona
de
Dis
poni
bilid
ad A
Puede usar NACLs para restringir tráfico interno en la VPC
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
10.0.3.0/24
EC2
Router
NAT
10.0.5.0/24
Jump
10.0.4.0/24
EC2 App Log
EC2 Web
“Denegar todo el tráfico entre la subred de los servidores web y la
subred de las bases de datos”
Zona
de
Dis
poni
bilid
ad A
Use las NACLs para defender a profundidad
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
10.0.3.0/24
EC2
Router
NAT
10.0.5.0/24
Jump
10.0.4.0/24
EC2 App Log
EC2 Web
NACLs son opcionales • Aplicados a nivel subred, sin estado y
permiten todo por defecto • ALLOW y DENY • Aplica a todas las instancias de la
subred • Úsese como segunda línea de defensa
Zona
de
Dis
poni
bilid
ad A
Use los Elastic Load Balancers para distribuir el tráfico entre las instancias
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
Router
NAT
10.0.5.0/24
Jump
10.0.4.0/24
EC2 App Log
EC2 Web EC
2 Web
Elastic Load Balancer
Zona
de
Dis
poni
bilid
ad A
Los Elastic Load Balancers también se ubican en grupos de seguridad
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
Router
NAT
10.0.5.0/24
Jump
10.0.4.0/24
EC2 App Log
EC2 Web EC
2 Web EC
2 EC2
EC2 Web
Elastic Load Balancer
Zona
de
Dis
poni
bilid
ad A
Su seguridad puede escalar hacia arriba o abajo junto con su solución
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
Router
NAT
10.0.5.0/24
Jump
10.0.4.0/24
EC2 App Log
EC2 Web EC2 Web EC2 EC2 Web
Elastic load balancers • Las instancias se pueden agregar o
quitar automáticamente del pool mediante el uso de reglas
• Puede agregar instancias al grupo de seguridad al momento de lanzarse
Elastic Load Balancer
Auto scaling
Zona
de
Dis
poni
bilid
ad A
Agregue un Internet Gateway para rutear el tráfico a Internet de su VPC
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
NAT
10.0.4.0/24
EC2 App
EC2 Web EC
2 Web EC
2 EC2 Web
Internet Gateway
VPC Router
Zona
de
Dis
poni
bilid
ad A
Usted selecciona que subredes pueden rutear hacia Internet
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
10.0.4.0/24
EC2 App
EC2 Web EC
2 Web EC
2 EC2 Web
Internet Gateway
VPC Router
Ruteo a Internet • Agregue tablas de ruteo a las
subredes para controlar los flujos del tráfico a Internet – estas se volverán subredes públicas
• El ruteo al Internet Gateway le permite asignar una dirección Elastic IP estática o usar direcciones IP públicas administradas por AWS a su instancia
Zona
de
Dis
poni
bilid
ad A
Las instancias NAT permiten tráfico de salida a Internet desde subredes privadas
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
NAT
10.0.4.0/24
EC2 App
EC2 Web EC
2 Web EC
2 EC2 Web
Internet Gateway
VPC Router
Ruteo a Internet • Utilice una instancia NAT
para proveer conectividad a Internet a las subredes privadas – se requiere para acceder los repositorios de actualizaciones de AWS
• Esto además permite a los servidores de back-end rutear a los APIs de AWS, por ejemplo: guardar logas en S3 o usar DynamoDB, SQS, etc.
NAT
Zona
de
Dis
poni
bilid
ad A
Agregue un Virtual Private Gateway para rutear el tráfico a sus instalaciones
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
NAT
10.0.4.0/24
EC2 App
EC2 Web EC
2 Web EC
2 EC2 Web VPC
Router
Virtual Private Gateway
Zona
de
Dis
poni
bilid
ad A
Su centro de datos
Puede crear múltiples túneles IPSEC a sus propios puntos de acceso de VPN
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
NAT
10.0.4.0/24
EC2 App
EC2 Web EC
2 Web EC
2 EC2 Web VPC
Router
Virtual Private Gateway
Zona
de
Dis
poni
bilid
ad A
Su centro de datos
Gateway del cliente
También puede tener una conexión privada con AWS Direct Connect
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
NAT
10.0.4.0/24
EC2 App
EC2 Web EC
2 Web EC
2 EC2 Web VPC
Router
Direct Connect Virtual Private
Gateway
Zona
de
Dis
poni
bilid
ad A
Su centro de datos
Gateway del cliente
Si lo necesita también puede crear VPNs sobre Direct Connect
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
NAT
10.0.4.0/24
EC2 App
EC2 Web EC
2 Web EC
2 EC2 Web VPC
Router
Direct Connect Virtual Private
Gateway
Zona
de
Dis
poni
bilid
ad A
Su centro de datos
Gateway del cliente
Puede rutear las conexiones a Internet por sus propios gateways
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
NAT
10.0.4.0/24
EC2 App
EC2 Web EC
2 Web EC
2 EC2 Web VPC
Router
Direct Connect Virtual Private
Gateway
Zona
de
Dis
poni
bilid
ad A
Su centro de datos
Gateway del cliente
Puede tener ambas, conectividad privada y de Internet a su VPC
VPC A - 10.0.0.0/16
10.0.1.0/24
10.0.2.0/24
EC2
10.0.3.0/24
EC2
NAT
10.0.4.0/24
EC2 App
EC2 Web EC
2 Web EC
2 EC2 Web VPC
Router
Direct Connect Virtual Private
Gateway
Internet Gateway
Amazon S3 DynamoDB NAT
Zona
de
Dis
poni
bilid
ad A
Su centro de datos
Gateway del cliente
Usted tiene el control total al diseñar soluciones híbridas robustas
VPC A - 10.0.0.0/16
EC2
EC2
NAT
EC2
EC2
VPC Router
Direct Connect Virtual Private
Gateway
Internet Gateway
Amazon S3 DynamoDB NAT
Su centro de datos
Elastic Load Balancer
Web
Public subnet
Private subnet
Web Auto scaling
Master
EC2
Failover
Zona
de
Dis
poni
bilid
ad A
La interconexión de VPC le puede ayudar a construir sus ambientes híbridos
Su organización
Equipos de proyectos
Marketing
Unidades de negocio
Reporteo
Digital / Sitios Web
Dev and Test
Redshift EMR
Analytics
Aplicaciones internal
empresa-riales
Amazon S3
Amazon Glacier
Almacena-miento/
respaldos
Puede distribuir la carga entre zonas de disponibilidad para lograr resiliencia
VPC A - 10.0.0.0/16
Elastic Load Balancer
Avai
labi
lity
Zone
B
Web
Public subnet
EC2
EC2
Private subnet
Private subnet
Web Auto scaling
Application
Application
Elastic Load Balancer Private subnet
Elastic Load Balancer Public subnet
Web
Private subnet
Web
Elastic Load Balancer Private subnet
EC2 Private subnet
Application
Application
Auto scaling
Auto scaling
Auto scaling
Internet Gateway Zo
na d
e D
ispo
nibi
lidad
A
Los ELBs balancearán el tráfico en una zona y redireccioanrán en caso de falla
VPC A - 10.0.0.0/16
Elastic Load Balancer
Avai
labi
lity
Zone
B
Web
Public subnet
EC2
EC2
Private subnet
Private subnet
Web Auto scaling
Application
Application
Elastic Load Balancer Private subnet
Elastic Load Balancer Public subnet
Web
Private subnet
Web
Elastic Load Balancer Private subnet
EC2 Private subnet
Application
Application
Auto scaling
Auto scaling
Auto scaling
Internet Gateway Zo
na d
e D
ispo
nibi
lidad
A
AWS Config Nuevo desde noviembre 2014
AWS Config es un servicio completamente gestionado que le ofrece un inventario de los recursos de AWS, así como como el historial de configuración y las notificaciones en los cambios de configuración
AWS Config Cambio continuo Registro Recursos que
cambian
AWS Config Historia
Stream
Snapshot (ex. 2014-11-05) AWS Config
Securing Your Business on the AWS Cloud
1. El modelo de responsabilidad compartida en la seguridad
2. Usar el alcance global y la disponibilidad de AWS
3. Construir una virtual private cloud segura
4. Usar AWS Identity and Access Management
5. Proteger su contenido en AWS
AWS IAM le permite controlar de manera segura el acceso a los servicios y recursos de AWS • Controle quién puede hacer qué, cuándo y desde dónde • Control de permisos de usuarios, recursos y acciones
finamente granulares • Agregue autenticación multi-pasos
• Token físico o aplicaciones para smartphones • Pruebe sus políticas nuevas usando el simulador de
políticas de Identity and Access Management
Usted tiene control detallado y granular de su ambiente de AWS
Segregar funciones entre roles con IAM
Region
Internet Gateway
Subnet 10.0.1.0/24
Subnet 10.0.2.0/24
VPC A - 10.0.0.0/16
Availability Zone
Availability Zone
Router
Internet
Customer Gateway
Usted selecciona quién puede hacer qué en su ambinete de AWS y desde dónde
Dueño de la cuenta de AWS
Admòn de redes
Admón de seguridad
Admón de servidores
Admón de almacenamiento
Administre y opere
Nunca ponga las llaves secretas de AWS en su instancia de EC2 o las guarde en sus Amazon Machine Images (AMIs) si puede evitarlo. Es muy simple:
• Cree un rol de IAM
• Defina qué cuentas o servicio de AWS pueden asumir el rol, por ejemplo: EC2
• Defina que acciones API y recursos puede usar la aplicación después de asumir el
rol, por ejemplo: acceso de lectura a un bucket de S3
• Especifique al rol cuando lance sus instancias
• Haga que la aplicación obtenga un grupo de credenciales temporales y las utilice AWS administra y distribuye acceso al rol para usted no tenga que hacerlo!
Use IAM para distribuir credenciales temporales para acceso a las API
Mantenga control de quién puede hacer qué en AWS usando su directorio activo existente • AWS IAM ahora soporta SAML 2.0 • Federar con directorios activos locales como
Active Directory o cualquier proveedor de identidad compatible con SAML 2.0
• Utilice los usuarios y grupos del directorio activo para autenticación y autorización
• Ejemplo: El grupo de seguridad “Administradores de bases de datos” del directorio puede tener acceso para crear y migrar based de datos locales e instancias RDS de AWS
Federar AWS IAM con directorios existentes
Incremente la visibilidad sobre loque sucede en su ambiente de AWS – quién hizo qué, cuándo y desde dónde • CloudTrail va a grabar los accesos a las llamadas API
y guardar los logs en sus buckets de S3, sin importar cómo fueron realizadas esas llamadas
• Sea notificado cada entrega de logs utilizando Simple Notification Service de AWS
• Soporte a muchos servicios de AWS incluyendo EC2, EBS, VPC, RDS, IAM, STS y RedShift
• Agregue información de logs en un sólo bucket de S3 Integración con hrramientas de análisis de socios de negocio de AWS incluyendo Splunk, AlertLogic and SumoLogic.
Use AWS CloudTrail para reastrear el acceso a los API y IAM
Los logs de AWS CloudTrail en múltiples casos de uso interesantes
CloudTrail le puede ayudar a lograr muchas tareas • Análisis de seguridad
• Rastrear cambios en los recursos de AWS, por ejemplo grupos de seguridad de VPC y NACLs
• Cumplimiento – entienda el histórico de llamados a las API
• Analize y resuleva problemas operacionales – Identifique de maerá rápida los cambios más recientes a su ambiente
Amazon CloudWatch Logs puede monitorear su sistema, aplicación y archivos propios de logs de las instancias Amazon EC2 y otras fuentes, por ejemplo: Monitoreé los archivos de logs de http de su servidor web y use los filtros de CloudWatch Metrics para identificar errores del tipo 404 y contar el número de ocurrencias dentro de un tiempo específico Con CloudWatch Alarms puede posteriormente notificarle cuando el número de errores 404 sobrepasa el límite que haya decidido definir – puede utilizar esto para automáticamente generar un ticket de investigación
Puede monitorear todo con CloudWatch logs
AWS Key Management Service - NUEVO desde noviembre 2014
• Un servicio administrado que facilita la creación, el control, la rotación y el uso de sus llaves de cifrado, integrado con Amazon EBS, Amazon
S3, y Amazon Redshift al momento de lanzar – más servicios próximamente
• Integrado con AWS AWS CloudTrail para proveer logs auditables para ayudar en sus actividades de cumplimiento regulatorio
• Jerarquía de llaves de dos capas usando envelope encryption • Llaves de datos únicas usadas para cifrar datos de usuarios,
las llaves maestras de AWS KMS cifran las llaves de datos • Beneficios de envelope encryption:
• Limita el riezgo de una llave de datos comprometida • Mejor rendimiento para cifrar volúmenes altos de datos
• Más fácil gestionar un número menor de llaves maestras que millones de llaves de datos
Customer Master Key(s)
Data Key 1
Amazon S3 Object
Amazon EBS
Volume
Amazon Redshift Cluster
Data Key 2 Data Key 3 Data Key 4
Custom Application
AWS KMS
Securing Your Business on the AWS Cloud
1. El modelo de responsabilidad compartida en la seguridad
2. Usar el alcance global y la disponibilidad de AWS
3. Construir una virtual private cloud segura
4. Usar AWS Identity and Access Management
5. Proteger su contenido en AWS
Configure controles de acceso de S3 a nivel bucket u objeto • Limite accesos y permisos lo más cerrado que pueda y revise de
manera regular los logs de acceso • Use manejo de versiones para archivos importantes con MFA
requerida para borrado Use las característica de cifrado de S3 • Use HTTPS para proteger los datos en tránsito • Cifrado S3 del lado del servidor
• AWS va a cifrar de manera transparente sus objetos usando AES-256 y administrará las llaves en su nombre, o puede administrar las mismas usando AWS Key Management Service (KMS)
• Use cifrado de S3 del lado del cliente • Cífre la información antes de enviarla a S3 • Constrúyalo usted mismo o utilice el SDK de Java
• Use MD5 checksums para verificar la integridad de los objetos copiados en S3 durante períodos de tiempo prolongados
Haga uso de las características de seguridad disponibles en S3
Entendiendo las características de seguridad de Amazon Redshift
Redshift proveé cifrado completo de disco con sólo un click como estándar
• Si lo desea los respaldos a S3 también pueden cifrarse
• Puede usar AWS CloudHSM para guardar sus llaves o proveer llaves de AWS Key Management Service (KMS)
Puede construir cifrado punto-a-punto para su flujo de datos
• Use el cifrado del lado del cliente para cifrar datos en S3
• Pase a Redshift la misma llave y desencriptará al momento de cargar los datos
Configura los grupos de seguridad considere usar una VPC
• RedShift carga los datos desde S3 a través de SSL
• Limite el acceso a esos buckets de S3
Utilice SSL para proteger la información en tránsito si se consulta desde Internet
Sáque provecho de las características de seguridad de Amazon RDS
RDS puede reducir la carga operativa de seguridad de sus bases de datos
• Llimite el acceso a las instancias de RDS con grupos de seguridad
• Limite el acceso de administradores a RDS con permisos AWS IAM
Cifre los datos en tránsito
• Oracle Native Network Encryption, SSL para SQL Server, MySQL y PostgreSQL – especialmente si la base de datos es accesible desde Internet
Cifre los datos en reposo en tablas sensibles
• Nativo en RDS a través de SQL Server y Oracle Transparent Data Encryption
• Cifre información sensible al nivel de la aplicación o use un proxy de DB
Configure la instalación automática de parches para actualizaciones menores – Permita a AWS hacer el trabajo pesado por usted dentro una ventana de mantenimiento que haga seleccionado
DBA
RDS
Cifrado de volúmenes EBS en instancias de Amazon EC2
Use el cifrado nativo de AWS, despliegue su propia solución comercial de
los socios de negocio de AWS
• Cifrado nativo a AWS EBS a un sólo click. Las llaves de cifrado se pueden consultar y administrar mediante AWS Key Management Service
• Use Windows BitLocker o Linux LUKS para volúmenes cifrados
• SafeNet Protect-V, Trend Secure Cloud, Voltage – algunos vendedores ofrecen cifrado de volúmenes de arranque, incluyendo opciones de alacenamiento de llave de hardware
Administrar llaves de cifrado es crítico y difícil! • Cómo gestionaría las llaves y estaría seguro que estén disponibles
cuando se necesite, por ejemplo al arranque de la instancia?
• Cómo las mantendrá actualizadas y prevenir pérdidas? Cómo las rotará de manera regular y mantenerlas privadas?
EBS
Módulo de seguridad de hardware controlado por el cliente dentro de la región de AWS para su VPC • Dispositivos estándar en la industria SafeNet Luna.
Certificados Common Criteria EAL4+, NIST FIPS 140-2 • Los administradores de Amazon que dan mantenimiento a
los dispositivos no tienen acceso al mismo
Almacenamiento de llaves Confiable y Durable • Utilícelo para cifrado de datos transparente en bases de
datos auto administradas y de forma nativa co Redshift • Intégrelo con sus aplicaciones usando los API de Java • Integrado con cifrado de discos del mercado y guías de
configuración para almacenar certificados de seguridad SSL
También puede utilizar AWS CloudHSM para guardar sus llaves de encripción
AWS CloudHSM se integra con dispositivos SafeNet HSMs locales
Su centro de datos
Aplicaciones
Su HSM NAT CloudHSM NAT CloudHSM
Volume, object, database encryption
Transaction signing / DRM / apps
EC2
H/A PAIR SYNC
EBS
S3 Amazon S3
Amazon Glacier