Cómo resolver los errores más comunes que pueden generar problemas de seguridad en la nube
Dario Goldfarb (Security Architect, LATAM) nos da un pantallazo general sobre los servicios de AWS que nos ayudan a hacer más seguras nuestras aplicaciones.
resolver los errores más comunes que pueden generar problemas de seguridad en la nube Abril, 2021 Dario Goldfarb Security Architect, LATAM [email protected]
los desafíos de seguridad constructivamente, con optimismo Modelo mental: optimista como una nutria https://www.optimism-otter.com/about.html “Qué cosas malas podrían pasar” à Qué podemos hacer para evitarlas “Seguridad siempre dice que no” à El trabajo del equipo de seguridad es habilitar a los equipos a innovar rápido Y seguro.
• Modelo de Responsabilidad Compartida • Consejos para problemas de seguridad relacionados a … • Compromiso de credenciales • Errores de configuración • Compromiso de instancias • ¿ Dónde sigo aprendiendo de seguridad en AWS ?
de Responsabilidad Compartida AWS Seguridad DE la nube AWS es responsable por proteger la infraestructura donde se ejecutan los servicios Seguridad EN la nube La responsabilidad del cliente va a depender de que tipo de servicios elija Cliente
del SO (parches, hardening, antimalware*) Gestión de la BD (parches, hardening) Respaldos de BD Escalabilidad Alta disponibilidad Instalaciones para BD Crecimiento elástico Modelo de responsabilidad compartida Ejemplo: bases de datos Servicios de infraestructura EC2 Seguridad física – Procesos de seguridad Electricidad, enfriamento Montaje en racks - red Mantenimiento de servidores Instalación del SO Control de acceso * Requerido Por PCI-DSS
del SO (parches, hardening, antimalware*) Gestión de la BD (parches, hardening) Respaldos de BD Escalabilidad Alta disponibilidad Instalaciones para BD Crecimiento elástico Modelo de responsabilidad compartida Ejemplo: bases de datos Seguridad física – Procesos de seguridad Electricidad, enfriamento Montaje en racks - red Mantenimiento de servidores Servicios encapsulados RDS Instalación del SO Control de acceso * Requerido Por PCI-DSS Gestión del SO (parches, hardening, antimalware*) Gestión de la BD (parches, hardening) Respaldos de BD Escalabilidad Alta disponibilidad Instalaciones para BD Operaciones Configuración
del SO (parches, hardening, antimalware*) Gestión de la BD (parches, hardening) Respaldos de BD Escalabilidad Alta disponibilidad Instalaciones para BD Gestión del SO (parches, hardening, antimalware*) Gestión de la BD (parches, hardening) Respaldos de BD Escalabilidad Alta disponibilidad Instalaciones para BD Crecimiento elástico Modelo de responsabilidad compartida Ejemplo: bases de datos Seguridad física – Procesos de seguridad Electricidad, enfriamento Montaje en racks - red Mantenimiento de servidores Instalación del SO Servicios abstractos DynamoDB Crecimiento elástico Control de acceso * Requerido Por PCI-DSS
de auditoría y cumplimiento disponibles para los clientes en el portal de servicios en AWS Artifact https://aws.amazon.com/es/compliance/programs/ CSA Cloud Security Alliance Controls ISO 9001 Global Quality Standard ISO 27001 Security Management Controls ISO 27017 Cloud Specific Controls ISO 27018 Personal Data Protection PCS DSS Level 1 SOC 1 Audit Controls Report SOC 2 Security, Availability & Confidentiality Report SOC 3 General Controls Report C5 (Germany) Operational Security Attestation Cyber Essentials Plus (UK) Cyber Threat Protection ENS High (Spain) Spanish Gov Standards G-Cloud UK Gov Standards IT-Grundschutz (Germany) Baseline Protection Methodology 203 certificaciones y acreditaciones de seguridad y conformidad +2600 controles de seguridad auditados anualmente Programa de cumplimiento regulatorio global de AWS
Realiza su parte del modelo eficientemente con automatizaciones • Pipelines de despliegue continuo • Despliegue de parches • Procesos probados a escala • Mínima intervención humana enfocada en la supervisión de los procesos automatizados • Los mas altos niveles en hardening • Auditoría La inversión en seguridad de AWS es mucho más grande que lo que la mayoría de los clientes pueden hacer individualmente
son los errores comunes en las responsabilidades del cliente ? Seguridad EN la nube El Cliente es responsable por la seguridad de sus cargas en la nube Cliente AWS
• Las Access Keys son: • Credenciales duraderas • Pueden ser usadas desde cualquier lugar (por defecto) • Factor único de autenticación (por defecto no incluyen MFA) Hardcodear Usa AWS IAM Instance Profiles • Si tu código necesita acceder a un recurso de AWS como un Bucket de S3, no embebas Access Keys en el código. Ø Si algún desarrollador las comparte en GitHub u otro repositorio público tendrán acceso a sus credenciales Ø Quien tenga acceso de lectura al código tendrá credenciales.
IAM Instance Profiles: Controlando acceso a recursos Recursos AWS Tu código Sistema operativo Ejemplo EC2 Credenciales de AWS entregadas automáticamente y rotando periódicamente Detección y uso automáticos de credenciales de AWS Acceso controlado por políticas de IAM (roles) También funciona con AWS Lambda y Amazon ECS
• Si tu código necesita acceder a una base de datos (Ej: Amazon RDS) u otro recurso que requiera una contraseña o una key de un SaaS, no la embebas en el código Ø Si algún desarrollador las comparte en GitHub u otro repositorio público tendrán acceso a sus credenciales Ø Quien tenga acceso de lectura al código tendrá credenciales. Usa AWS Secrets Manager Ø Es necesario poder rotar las credenciales periódicamente, y poder rotarlas a demanda al momento de sospechar un compromiso sin afectar la disponibilidad de las aplicaciones. Hardcodear
Secrets Manager: Características principales Rotación de credenciales Políticas de acceso refinadas Almacenamiento cifrado Integración extensible con AWS Lambda Registro y vigilancia Rotación con control de vesiones
Secrets Manager: Arquitectura Recursos AWS Tu código IAM Rol Ejemplo EC2 Credenciales de AWS entregadas automáticamente Llamada autorizada a Secrets Manager Solución confiable y segura para rotación automática en TODAS las credenciales Credenciales DB Conexión establecida AWS Secrets Manager Amazon RDS
• Prefiere el acceso a la consola de AWS o al AWS Cli usando servicios que otorgan credenciales temporales. Ø IAM users cuyas credenciales no se rotan, con el tiempo van incrementando su riesgo. Usa AWS SSO Nota: Si no tienes control de la cuenta de administración de una AWS Organizations, configura en IAM la federación de usuarios desde un Identity Provider (OpenID Connect o SAML)
Single Sign-On AWS Organizations AWS SSO Portal de usuario de AWS SSO Directorio de AWS Servicio para Microsoft Active Directory Repositorio de identidades de SSO o IdP externo Beneficios • Portal de acceso a las múltiples cuentas y aplicaciones del usuario • Asignación central de permisos • Integrado a AWS Command Line Interface (AWS CLI) v2 • Servicio gratuito • Usted elige su fuente de identidad
de configuración ü Bloqueo de acceso público a los Buckets de Amazon S3 ü Descubrimiento y clasificación de datos sensibles (Amazon Macie) ü Detección de potenciales fugas de información (Amazon GuardDuty S3 Protection) ü Desvíos de configuración (AWS Config)
Usa S3 Block Public Access • Si no requieres acceso público en ningún bucket en tu cuenta, mantenlo bloqueado a nivel cuenta. • Si no requieres acceso público en un bucket, mantenlo bloqueado. Ø Errores de configuración en políticas de bucket podrían exponer información sensible • Todas las nuevas cuentas vienen con el acceso publico bloqueado, y todos los nuevos buckets vienen con el acceso público bloqueado.
Macie Seguridad y privacidad de datos escalable para Amazon S3 Monitorea los cambios en las políticas de buckets de Amazon S3 • Acceso público • Sin cifrar • Compartido fuera de la cuenta • Replicado en cuentas externas Ganar visibilidad y evaluación de políticas Ejecuta trabajos de descubrimiento de información sensible Descubre datos sensibles • .txt .json .xml .csv .tsv • .docx .xls .xlsx .pdf • Parquet, Avro • .tar .zip .gzip Formatos de archivo Tipos de datos • Financieros (tarjetas de crédito, número de cuenta bancaria, etc.) • Información Personal (nombre, dirección, datos de contacto, etc.) • Documentación Nacional (pasaporte, documento de identidad, licencia de conducir, etc.) • Datos Médicos • Credenciales y secretos • Personalizados (regex)
Usa Amazon Macie • Encuentra donde tienes información sensible (PII, Card Data, Keys) • Revisa tu postura de seguridad en buckets Ø Ex-Empleados maliciosos podrían haber dejado permisos a entidades externas Ø Descubre si sigues compartiendo información a asociados de negocio con quienes ya terminó tu relación Ø Descubre si por error hay información pública que no debería estarlo • Detecta si estás cifrando acorde a tus políticas organizacionales.
de amenazas – Amazon GuardDuty VPC Flow Logs DNS Logs CloudTrail Events Hallazgos Fuentes de datos Threat intelligence Detección de anomalías (ML) Amazon Detective • Alerta • Remediación • Soluciones de socios tecnológicos • Envío al SIEM CloudWatch Event Tipos de Hallazgos Minería de Bitcoins Command & Control Conexiones anónimas Reconocimiento Comportamiento inusual del usuario Ejemplo: • Lanzamiento de instancias • Cambios en los permisos de red • Anomalías en el comportamiento de la Red • Patrones anómalos de acceso a los datos en Amazon S3 Amazon GuardDuty Tipos de detección ALTA MEDIA BAJA AWS Security Hub S3 Data Plane Events Reconocimiento Compromiso de Instancia Compromiso de Cuenta Importante: Toma Acciones
GuardDuty: S3 Protection • Acceso desde: • Potenciales herramientas de ataque (Kali, Parrot, Pentoo) • IPs Maliciosas • IPs Anónimas (TOR) • Anomalías: • En el volumen de datos extraídos • En la cantidad de objetos eliminados • Cambios en Políticas para debilitarlas • Apagado de logs • Apertura de Buckets https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html
Usa Amazon GuardDuty • Detecta intentos de acceso desde fuentes sospechosas • Detecta potenciales fugas de información • Detecta actividad inusual entre tus empleados en cuanto a debilitación de políticas • Detecta comportamientos anómalos (reconocimiento / fuerza bruta) y actúa • Se activa con un Click • No requiere Agentes • Inteligencia embebida • 30 días Free Trial
Config – Detección y corrección de desvíos Inventario, monitoreo y notificación de cambios de configuración Gestión de Cambios Análisis de Auditoria Análisis de Seguridad Análisis de Problemas Inventario Cambio en recursos AWS Config Normalizado AWS Config rules Alertas Corrección de configuraciones Historial, snapshot
Config: 180+ reglas administradas • Puertos abiertos (configurable, 22, 3389, 1433, etc) • IAM Policy • EBS sin cifrar • Uso de AMIs no aprobadas • MFA no habilitado • ElasticSearch fuera de VPCs
Usa AWS Security Hub y AWS Config • Revisa el alineamiento de tus configuraciones con las buenas prácticas de seguridad Ø Empleados maliciosos o usuarios comprometidos podrían alterarlas. Ø Tu equipo de seguridad podría no tener el tiempo o skill para hacer assessments manuales. • Detecta configuraciones indeseables personalizadas con AWS Config Ø Un puerto 22 o 3389 abierto podría recibir ataques de fuerza bruta.
de Instancias ü Protege tus aplicaciones con WAF (en particular OS Command Injection) ü Uso de credenciales temporales ü Patching (AWS Systems Manager Patch Manager – EC2 Image Builder) ü Instance Metadata service (IMDS) v2
WAF – Protección de capa 7 Amazon API Gateway Application Load Balancer Amazon CloudFront AWS WAF • WAF Elástico e integrado • Managed Rules provistas por AWS + Provistas por partners + Reglas personalizadas. • Pago por uso
quienes prefieren la lectura • Guía con los contenidos para cubrir todos los temas de la certificación • Ejercicios prácticos • Preguntas de práctica para el examen • 100 Flashcards para memorizar
awsespanol
ttskch
tomu28
shinden
ryukobayashi
joergneumann
lovee
akarin
faithandbrave
ryunakayama
toshi0383
kj455
bkuhlmann
reverentgeek
yeseniaperezcruz
addyosmani
edds
cassininazir
marcduiker
frogandcode
shpigford
morganepeng
chrislema
ddemaree
paulrobertlloyd
