Una pregunta que suele surgir en los clientes es, “Entre tantos servicios, tantos controles, y tantas recomendaciones… ¿Cómo Priorizo? ¿Por dónde empiezo?

Algunos controles son fáciles de implementar, ya que requieren poco esfuerzo, entendiendo esfuerzo como: Velocidad/Simplicidad de implementación, Facilidad de gestión / Carga operativa o Costo del servicio.

Otros controles son de vital importancia, ya que aportan mucho beneficio en cuanto a reforzar la postura de seguridad. En este artículo buscamos hacerle conocer 10 elementos fundamentales para mejorar la seguridad en una cuenta o carga de trabajo en AWS

1- Uso de la autenticación multifactor (MFA)

MFA es la mejor forma de proteger las cuentas de un acceso inapropiado. Configure siempre MFA en su usuario Root y en los usuarios de AWS Identity and Access Management (IAM). Si utiliza AWS Single Sign-On (SSO) para controlar el acceso a AWS o para federar la identidad corporativa, puede requerir MFA. La implementación de MFA en el proveedor de identidad federado (IdP) significa que puede aprovechar los procesos de MFA existentes en su organización. Para comenzar, consulte “Uso de la autenticación multifactor (MFA) en AWS”.

2- No establecer secretos estáticos

Cuando crea aplicaciones en AWS, puede utilizar roles de AWS IAM para entregar credenciales temporales y de corta duración para llamar a los servicios de AWS. Sin embargo, algunas aplicaciones requieren credenciales de mayor duración, como contraseñas de bases de datos u otras API Keys. Si este es el caso, nunca debe establecer estos secretos en la aplicación ni almacenarlos en el código fuente.

Puede utilizar AWS Secrets Manager para controlar la información en su aplicación. Secrets Manager le permite rotar, administrar y recuperar credenciales de base de datos, API Keys y otros secretos a través de su ciclo de vida. Los usuarios y las aplicaciones pueden recuperar secretos con una llamada a las APIs de Secrets Manager, lo que elimina la necesidad de establecer información confidencial en texto plano.

También debe aprender a usar los roles de AWS IAM para aplicaciones que se ejecutan en Amazon EC2. Para obtener los mejores resultados, aprenda a proporcionar credenciales de base de datos de forma segura a las funciones AWS Lambda mediante AWS Secrets Manager.

3- Limitar los Security Groups

No todos los datos se crean de la misma manera, lo que significa que clasificar los datos correctamente es crucial para su seguridad. Es importante adaptarse a las complejas compensaciones entre una postura de seguridad estricta y un entorno ágil y flexible. Una postura de seguridad estricta, que requiere procedimientos de control de acceso prolongados, crea garantías más sólidas sobre la seguridad de los datos.

Sin embargo, tal postura de seguridad puede funcionar en contra de los entornos de desarrollo ágiles y de ritmo rápido, donde los desarrolladores requieren acceso de autoservicio a los almacenes de datos. Diseñe su enfoque de clasificación de datos para cumplir con una amplia gama de requisitos de acceso.

La forma de clasificar los datos no tiene por qué ser tan binaria como pública o privada. Los datos tienen varios grados de sensibilidad y es posible que tenga datos que se encuentren en todos los diferentes niveles de sensibilidad y confidencialidad. Diseñe sus controles de seguridad de datos con una combinación adecuada de controles preventivos y de detección, para que coincida con la sensibilidad de los datos de manera adecuada. En las sugerencias a continuación, nos ocupamos principalmente de la diferencia entre datos públicos y privados. Si no tiene una política de clasificación actualmente, lo público frente a lo privado es un buen lugar para comenzar.

Para proteger sus datos una vez clasificados o mientras los está clasificando:

  1. Si tiene buckets de Amazon Simple Storage Service (Amazon S3) que son para uso público, mueva todos esos datos a una cuenta de AWS separada reservada para acceso público. Configure políticas para permitir que solo los procesos — no los humanos — muevan datos a esos buckets. Esto le permite bloquear la capacidad de hacer un bucket de Amazon S3 público en cualquier otra cuenta de AWS.
  2. Utilice Amazon S3 para bloquear el acceso público en cualquier cuenta que no debería poder compartir datos a través de Amazon S3.
  3. Utilice dos roles de IAM diferentes para el cifrado y el descifrado con KMS. Esto le permite separar la entrada de datos (cifrado) y la revisión de datos (descifrado), y le permite realizar una detección de amenazas en los intentos fallidos de descifrado mediante el análisis de ese rol.

4- Centralizar los logs de CloudTrail

El registro y la supervisión son partes importantes de un plan de seguridad sólido. Poder investigar cambios inesperados en su entorno o realizar análisis para iterar sobre su postura de seguridad depende de tener acceso a los datos. AWS recomienda que escriba registros, especialmente de AWS CloudTrail, en un bucket de S3 en una cuenta de AWS designada para el registro (Archivado de Logs). Los permisos en el S3 Bucket deben evitar la eliminación de los registros y también deben estar encriptados. Una vez que los registros están centralizados, puede integrarlos con las soluciones SIEM o utilizar los servicios de AWS para analizarlos. Aprenda a utilizar los servicios de AWS para visualizar los registros de AWS CloudTrail. Una vez que tenga los logs de CloudTrail centralizados, también puede usar la misma cuenta de Archivado de Logs para centralizar los registros de otras fuentes, como CloudWatch Logs y los balanceadores de carga de AWS.

5- Validar los roles de IAM

A medida que opera sus cuentas de AWS para iterar y desarrollar capacidades, puede terminar creando múltiples roles de IAM que luego descubra que no necesita. Utilice AWS IAM Access Analyzer para revisar el acceso a sus recursos internos de AWS y determinar dónde tiene accesos compartidos externos a sus cuentas de AWS. La reevaluación periódica de los roles y permisos de AWS IAM con Security Hub o productos de código abierto como Prowler le brindará la visibilidad necesaria para validar el cumplimiento de sus políticas de Gobernabilidad, Riesgo y Cumplimiento (GRC). Si ya ha superado este punto y ya ha creado varios roles, puede buscar roles de IAM que no se están usando y proceder a eliminarlos.
AWS Security Hub, Amazon GuardDuty y AWS Identity and Access Management Access Analyzer son servicios administrados de AWS que le brindan hallazgos procesables en sus cuentas de AWS. Son fáciles de activar y se pueden integrar en varias cuentas. Habilitarlos es el primer paso. También debe tomar medidas cuando vea hallazgos. Las acciones a tomar están determinadas por su propia política de respuesta a incidentes. Para cada hallazgo, asegúrese de haber definido cuáles deben ser sus acciones requeridas de respuesta.

La acción puede consistir en notificar a una persona para que responda, pero a medida que adquiera más experiencia en los servicios de AWS, querrá automatizar la respuesta a los hallazgos generados por Security Hub o GuardDuty.

7- Rotar claves de acceso

Una de las características que proporciona Security Hub es una visión de la postura de conformidad de sus cuentas de AWS utilizando los puntos de referencia de CIS. Una de estas comprobaciones es buscar usuarios de IAM con claves de acceso de más de 90 días. Si necesita usar claves de acceso en lugar de roles, debe rotarlas regularmente.

Si sus usuarios acceden a AWS a través de acceso federado, entonces puede eliminar la necesidad de emitir claves de acceso de AWS para sus usuarios. Los usuarios se autentican en el IdP y asumen un rol de IAM en la cuenta de AWS de destino. El resultado es que no se necesitan credenciales a largo plazo y su usuario tendrá credenciales a corto plazo asociadas con un rol de IAM.

8 - Control de datos sensibles en sus cargas de trabajo

Amazon Macie es un servicio de privacidad y seguridad de datos totalmente administrado que utiliza el aprendizaje automático y la correspondencia de patrones para descubrir y proteger sus datos confidenciales en AWS.

Las alertas de Macie, o los hallazgos, se pueden buscar y filtrar en la consola de administración de AWS y enviar a Amazon EventBridge, anteriormente denominado Amazon CloudWatch Events, para una integración sencilla con el flujo de trabajo existente o los sistemas de administración de eventos, o se puede utilizar junto con los servicios de AWS, como AWS Step Functions, para tomar acciones correctivas automatizadas. Esto puede ayudarle a cumplir con ciertas normativas, como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) y el Reglamento general de protección de datos (GDRP).

Recuerde, indicar a los usuarios o desarrolladores “no almacene su información sensible aquí”, no es tan constructivo como indicarle explícitamente donde almacenar cada tipo de información sensible, ya que evita confusiones, y tal vez los usuarios o desarrolladores encuentren un lugar peor donde alojar dichos datos si no se le especifica dónde.

Activando Amazon Macie verán cuantos buckets están abiertos al público, cuántos están siendo compartidos fuera de su organización, cuántos de ellos están cifrados, y podrás identificar cuales requieren correcciones para alinearse a sus políticas de seguridad.

9-  Resguarde sus datos de manera nativa con AWS Backup

AWS Backup es un servicio completamente administrado que facilita la tarea de centralizar y automatizar las copias de seguridad de los datos en los servicios de AWS. Al utilizar AWS Backup, puede configurar centralmente las políticas de copia de seguridad y supervisar la actividad correspondiente para los recursos de AWS, tales como volúmenes de Amazon EBS, instancias de Amazon EC2, bases de datos de Amazon RDS, tablas de Amazon DynamoDB, sistemas de archivos de Amazon EFS y volúmenes de AWS Storage Gateway.

AWS Backup automatiza y consolida las tareas de copias de seguridad que anteriormente se realizaban servicio por servicio. De esta forma se elimina la necesidad de elaborar secuencias de comandos y procesos manuales personalizados. Con unos pocos clics en la consola de AWS Backup, puede crear políticas de respaldo que automaticen los cronogramas de creación de copias de seguridad y la administración de los períodos de retención. AWS Backup proporciona una solución de respaldo completamente administrada y basada en políticas, lo que permite simplificar la gestión de copias de seguridad y cumplir requisitos de conformidad normativos y empresariales relacionados con el respaldo.

10- Proteja sus aplicaciones webs de cyber ataques comunes con Web Application Firewall

AWS WAF es un firewall para aplicaciones web que ayuda a proteger sus aplicaciones web o API contra ataques web y bots comunes que pueden afectar la disponibilidad, poner en riesgo la seguridad o consumir demasiados recursos.

AWS WAF brinda control sobre cómo el tráfico llega a sus aplicaciones, lo que le permite crear reglas de seguridad que controlan el tráfico de bots y bloquean los patrones de ataque comunes, como la inyección de SQL o el scripting entre sitios.



AWS WAF está integrado a los Application Load Balancers, a los API Gateways y a las distribuciones de AWS CloudFront, por lo que es sencillo de desplegar.

En pocos minutos, habilitando reglas gestionadas por AWS puede ganar protección contra los ataques más críticos y frecuentes (OWASP Top 10), así como bloquear IPs de mala reputación (como las IPs de las Botnets e IPs de atacantes). Usted puede elegir cuales paquetes de reglas gestionadas activar, según la carga a proteger, y seleccionar si solo se desea que cuente o que bloquee.

Adicionalmente puede utilizar las reglas de nuestros asociados de negocio como F5, Fortinet, Cyber Security Cloud y otros, para complementar las reglas del AWS WAF, adquiriendo la subscripción mensual desde el AWS Marketplace. Al ser usadas por el AWS WAF sigue manteniendo la facilidad de despliegue y gestión (siendo un servicio que escala elásticamente).