Este artículo es la continuación de “Seguridad en AWS – Parte I”. Así que si no lo has leído, te recomendamos encarecidamente que lo hagas para que puedas aprovechar toda la información entregada (pero es un mundo libre, tu eliges 🙂).
Vamos a continuar hablando de algunas de las herramientas y estrategias disponibles en AWS para trabajar tu ciberseguridad y cumplimiento de manera efectiva, generando evidencia utilizable para demostrar tus estándares de seguridad con fines de habilitación de negocio (como venderle a un corporativo) y/o auditorías.
Ciberseguridad en AWS
En el artículo anterior hicimos énfasis en servicios de AWS que tienen un beneficio directo en tus controles de seguridad y que requieren nulo (o casi nulo) esfuerzo de implementación. Ahora iremos un poco más allá y exploraremos cómo hacer sinergia entre distintos servicios.
AWS CloudTrail + AWS Athena
Auditar la actividad de usuarios sobre plataformas es uno de los requisitos de seguridad más comunes y la nube no es la excepción. Sin embargo, no es algo que usualmente se realice hasta que algún cliente y/o auditor te lo solicita.
En AWS, existe una forma que no solamente es sencilla, sino que es sumamente flexible para investigar qué está ocurriendo en tu infraestructura. Eso sí, necesitarás saber un poco de SQL, así que si aún no sabes y te interesa esta actividad, ahora tienes una gran excusa para aprender.
Vamos a comenzar definiendo los servicios que vamos a utilizar:
- AWS CloudTrail: para efectos de ciberseguridad y compliance, es uno de nuestros mayores aliados. Registra de manera inmutable toda actividad realizada en tu infraestructura y la almacena como logs dentro de un bucket de S3.
- AWS Athena: servicio serverless (ejecución a demanda, no requiere de una máquina virtual del cliente) que permite analizar petabytes de datos a partir del uso de SQL de manera interactiva.
¿Ya vas imaginando cómo estos dos servicios trabajan juntos? La cantidad de información que se almacena en el bucket de S3 utilizado por CloudTrail puede llegar a crecer de manera exponencial, dado que cada vez que realizas una acción sobre tu infraestructura, múltiples logs con distintos tipos de metadata son registrados de manera continua. Podemos utilizar AWS Athena para ingestar datos desde dicho bucket y analizar los logs. Se requiere cierta configuración que dejaremos fuera del artículo, pero una vez que Athena queda conectado al bucket y las tablas para las consultas son creadas, es posible comenzar a obtener información.
Por ejemplo, si quisiéramos conocer intentos fallidos de acceso a nuestra consola desde el primero de Octubre, para así saber si existen anomalías asociadas a intentos de acceso, podemos obtener la información mediante la siguiente consulta:
SELECT useridentity.username, sourceipaddress, eventtime
FROM your_athena_user_tablename
WHERE eventname = 'ConsoleLogin'
and useridentity.username = 'HIDDEN_DUE_TO_SECURITY_REASONS'
and eventtime >= '2023-10-01T00:00:00Z';
AWS Web Application Firewall (WAF)
Tal y como su nombre lo indica, este servicio permite monitorear requests HTTP(S) dirigidos a servicios de AWS, comúnmente integrados a aplicaciones web: CloudFront, Balanceador de Carga de Aplicativos (ALB), API Gateway y AppSync.
Además, puedes gestionar reglas para controlar y limitar el acceso a tu infraestructura a través de los servicios antes mencionados usando criterios tales como: IP, query strings, cabeceras y cuerpo del request, entre otros.
Sin embargo, debemos tener cuidado a la hora de implementar estas reglas porque podríamos bloquear accidentalmente tráfico legítimo. Por lo anterior, es que AWS nos entrega dos acciones a la hora de implementar reglas en nuestro WAF:
- Conteo: nos permite únicamente registrar que la condición de la regla se cumplió, generando el registro pero sin tomar acción alguna.
- Bloqueo: cuando la regla se cumple, se activa el control de acceso y el request es denegado.
La regla general es primero activar reglas en modo conteo y, posterior al ser analizadas, decidir si bloquearla o eliminarla. Para esto, al igual que con CloudTrail, puedes utilizar Athena para analizar los logs generados por las reglas del WAF. Adicionalmente, puedes descubrir cosas interesantes como: revisar actividad proveniente de IPs bloqueadas o de una IP específica, revisar la actividad para un momento del tiempo específico, entre muchas otras.
Por último, AWS nos entrega reglas que son sumamente útiles para:
- Protección de vulnerabilidades: tales como inyección de código, XSS (Cross-Site Scripting) y múltiples vulnerabilidades, incluyendo el OWASP Top 10.
- Bloquear IP’s maliciosas: AWS almacena información de IP’s comúnmente asociadas a actividad maliciosa, permitiéndote bloquearlas sin que debas estar preocupándote de actualizarlas.
Conclusiones finales
No existe una única gran solución que te proteja frente a la creciente ola de ciberataques en la que estamos viviendo. Estas soluciones tampoco son las únicas disponibles, por lo que la elección e implementación de las mismas debe siempre ser estudiada y elegida en función del valor que entregan sobre costos tales como tiempos de implementación, efectividad e inversión requerida.
Lo más importante es que comiences a trabajar en esta materia para que tus clientes y prospectos no te tomen desprevenido cuando quieran conocer la seguridad de tus servicios.
El camino hacia la ciberseguridad tiene un inicio, pero no un fin. Puedes quedarte atrás si arrancas muy tarde. En Hackmetrix sabemos que el foco de pequeñas y medianas empresas está en crecer y la habilitación de nuevos negocios, por lo cual creamos una forma ágil y efectiva para que puedas llevar tu ciberseguridad al siguiente nivel.
¿Es algo que te hace sentido? Agenda tu demo gratuita junto a nuestro expertos, para aprender cómo nuestra solución B2B SaaS y servicios de Ethical Hacking pueden protegerte a ti y a tus clientes.