Al momento de utilizar un proveedor en la nube para montar la infraestructura necesaria para tu aplicación, seguramente tu foco esté en el uso de máquinas virtuales y otro tipo de herramientas que ayudan a que esta opere de manera correcta, escale y se comporte como necesitas que lo haga. Pero muchas veces tendemos a dejar la arista de seguridad de lado con la creencia de que la nube por defecto es segura.
Si bien no es del todo falso, eventualmente necesitarás demostrarle a terceros (clientes, proveedores, auditores) que manejas buenas prácticas de ciberseguridad, lo cual puede no ser trivial porque existen muchos puntos por donde empezar.
Este artículo tiene como propósito guiarte en el uso de algunas de las herramientas que existen en Amazon Web Services (AWS), para que puedas implementar, de manera sencilla, mecanismos efectivos y prácticos para mejorar tu postura de ciberseguridad.
Si utilizas otro proveedor Cloud, no te preocupes. La gran mayoría de herramientas de las cuales hablaremos tienen su análogo en GCP y Azure.
Antes de comenzar con nuestro listado, primero debemos hablar de la seguridad en general y del famoso modelo de responsabilidad compartida.
Modelo de responsabilidad compartida: la “letra chica” al utilizar la nube
Una de las cosas que en Hackmetrix solemos escuchar cuando revisamos la postura de seguridad de clientes y prospectos es que “somos seguros porque estamos sobre la nube”, dando a entender que la nube es una fórmula mágica donde todas las preocupaciones son manejadas por el proveedor respectivo.
Spoiler alert: nada puede estar más lejos de la verdad.
Tal y como su nombre lo indica, el modelo de responsabilidad compartida constituye una serie de directrices entregadas por el proveedor cloud, que indican bajo qué factores la seguridad es responsabilidad del que contrata los servicios en la nube o del proveedor de esta.
Dicho de otra manera, , se entiende que la responsabilidad por la seguridad de la nube es del proveedor, pero la seguridad en la nube es responsabilidad de quién la contrata. Por ejemplo, si tienes una máquina virtual expuesta a internet cuya conexión ssh tiene la clave “qwerty”, un ciberatacante podrá acceder a esta, independiente de si esta “vive” en un servidor on-premise o en la nube. Pero si esta máquina estuviese protegida por un firewall que únicamente permite el acceso a IPs específicas pero el ciberatacante logró acceder desde otra IP, la responsabilidad caería en el proveedor cloud.
Ciberseguridad en AWS
Vamos a iniciar hablando de aquellas herramientas que AWS disponibiliza por ti por defecto o que únicamente requieren un par de clicks. Es útil conocerlas no sólo por la capa de seguridad que te entregan, sino porque también pueden servirte como evidencia de los mecanismos de seguridad con los que tu infraestructura se encuentra protegida.
AWS Shield
Al desarrollar aplicaciones sobre AWS, automáticamente cuentas con este servicio de protección frente a ataques de denegación de servicio distribuido (o DDoS como es más conocido por sus siglas en inglés) de manera gratuita (premio doble). Esta protección es evidencia robusta de la protección frente a la disponibilidad de la información, lo que es sumamente relevante sobre todo si cuentas con acuerdos de niveles de servicio comprometidos con tus clientes o debes demostrar estrategias de disponibilidad de cara a la ISO 27001.
AWS GuardDuty
Para entender bien qué es lo que ofrece este servicio, primero nos conviene hablar de sistemas de detección de intrusos y sistemas de prevención de intrusos (IDS e IPS por sus siglas en inglés, respectivamente). Ambos sistemas permiten analizar tráfico de red, actividad o anomalías que indiquen algún tipo de intrusión en tu infraestructura. Sin embargo, tienen una diferencia clave para entender cómo trabajan cada uno:
- IDS: están diseñados para detectar una potencial intrusión, generar una alerta y registrar el hallazgo en una bitácora para efectos de análisis posterior.
- IPS: están diseñados para realizar acciones frente a una intrusión, a partir de una serie de reglas preconfiguradas, bloqueando el intento de intrusión.
En otras palabras, un IDS es un monitoreo pasivo mientras que un IPS es un monitoreo activo.
AWS GuardDuty es capaz de monitorear el tráfico de distintos componentes de tu infraestructura: logs del tráfico de entrada y salida de tu VPC (Virtual Private Cloud), de Kubernetes, CloudTrail, S3, entre otros). Sin embargo, no genera acciones al respecto, por lo cual es un IDS. El servicio utiliza fuentes de información de amenazas junto con modelos de Machine Learning para identificar actividad maliciosa en tu entorno.
La activación de GuardDuty únicamente requiere acceder a este servicio desde la consola y con un par de clicks ya estará operando.
Si quieres ir un poco más allá, puedes hacer que las alertas lleguen a un canal de slack, y así tener un espacio de monitoreo de alertas de seguridad que te permita recibir notificaciones cuando se genere un hallazgo para revisarlo en detalle. Así puedes declarar en tus políticas de seguridad y a tus clientes que cuentas con monitoreo en tu infraestructura.
Nota 👀: GuardDuty no es un servicio gratuito, por lo cual te recomiendo revisar si este tipo de monitoreo te entrega valor, para así no aumentar tu facturación en vano.
¿Qué podemos concluir (hasta ahora)?
En este artículo, dimos una introducción a servicios asociados a seguridad en la nube de AWS. Te recomendamos estar atento a la publicación de la Parte II, revisando periódicamente nuestro blog.
Recordar que estas medidas (y las que hablaremos en el siguiente artículo) son solo algunas de las que deberías implementar en tu organización, junto con otras como la realización de pruebas de Ethical Hacking y la implementación de normativas tales como la ISO 27001.
Si esto último te suena complejo o no sabes bien dónde partir, en Hackmetrix somos expertos en apoyar a las startups en su camino a ser más seguras. Elevar tu nivel de ciberseguridad no es solamente un trabajo necesario para tu organización, sino que además es un gran diferenciador para el valor que le puedes ofrecer a tus clientes.
Haz clic en la imagen y entra en contacto con nosotros para poder guiarte.
