Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Cómo resolver los errores más comunes que pue...

Cómo resolver los errores más comunes que pueden generar problemas de seguridad en la nube

Dario Goldfarb (Security Architect, LATAM) nos da un pantallazo general sobre los servicios de AWS que nos ayudan a hacer más seguras nuestras aplicaciones.

AWS en Español

April 20, 2021
Tweet

More Decks by AWS en Español

Other Decks in Programming

Transcript

  1. © 2021, Amazon Web Services, Inc. or its Affiliates. Cómo

    resolver los errores más comunes que pueden generar problemas de seguridad en la nube Abril, 2021 Dario Goldfarb Security Architect, LATAM [email protected]
  2. © 2021, Amazon Web Services, Inc. or its Affiliates. Enfrentando

    los desafíos de seguridad constructivamente, con optimismo Modelo mental: optimista como una nutria https://www.optimism-otter.com/about.html “Qué cosas malas podrían pasar” à Qué podemos hacer para evitarlas “Seguridad siempre dice que no” à El trabajo del equipo de seguridad es habilitar a los equipos a innovar rápido Y seguro.
  3. © 2021, Amazon Web Services, Inc. or its Affiliates. Agenda

    • Modelo de Responsabilidad Compartida • Consejos para problemas de seguridad relacionados a … • Compromiso de credenciales • Errores de configuración • Compromiso de instancias • ¿ Dónde sigo aprendiendo de seguridad en AWS ?
  4. © 2021, Amazon Web Services, Inc. or its Affiliates. Modelo

    de Responsabilidad Compartida AWS Seguridad DE la nube AWS es responsable por proteger la infraestructura donde se ejecutan los servicios Seguridad EN la nube La responsabilidad del cliente va a depender de que tipo de servicios elija Cliente
  5. © 2021, Amazon Web Services, Inc. or its Affiliates. Servicios

    de infraestructura Servicios encapsulados Servicios abstractos Tipos de servicios Modelo de responsabilidad compartida
  6. © 2021, Amazon Web Services, Inc. or its Affiliates. Gestión

    del SO (parches, hardening, antimalware*) Gestión de la BD (parches, hardening) Respaldos de BD Escalabilidad Alta disponibilidad Instalaciones para BD Crecimiento elástico Modelo de responsabilidad compartida Ejemplo: bases de datos Servicios de infraestructura EC2 Seguridad física – Procesos de seguridad Electricidad, enfriamento Montaje en racks - red Mantenimiento de servidores Instalación del SO Control de acceso * Requerido Por PCI-DSS
  7. © 2021, Amazon Web Services, Inc. or its Affiliates. Gestión

    del SO (parches, hardening, antimalware*) Gestión de la BD (parches, hardening) Respaldos de BD Escalabilidad Alta disponibilidad Instalaciones para BD Crecimiento elástico Modelo de responsabilidad compartida Ejemplo: bases de datos Seguridad física – Procesos de seguridad Electricidad, enfriamento Montaje en racks - red Mantenimiento de servidores Servicios encapsulados RDS Instalación del SO Control de acceso * Requerido Por PCI-DSS Gestión del SO (parches, hardening, antimalware*) Gestión de la BD (parches, hardening) Respaldos de BD Escalabilidad Alta disponibilidad Instalaciones para BD Operaciones Configuración
  8. © 2021, Amazon Web Services, Inc. or its Affiliates. Gestión

    del SO (parches, hardening, antimalware*) Gestión de la BD (parches, hardening) Respaldos de BD Escalabilidad Alta disponibilidad Instalaciones para BD Gestión del SO (parches, hardening, antimalware*) Gestión de la BD (parches, hardening) Respaldos de BD Escalabilidad Alta disponibilidad Instalaciones para BD Crecimiento elástico Modelo de responsabilidad compartida Ejemplo: bases de datos Seguridad física – Procesos de seguridad Electricidad, enfriamento Montaje en racks - red Mantenimiento de servidores Instalación del SO Servicios abstractos DynamoDB Crecimiento elástico Control de acceso * Requerido Por PCI-DSS
  9. © 2021, Amazon Web Services, Inc. or its Affiliates. Informes

    de auditoría y cumplimiento disponibles para los clientes en el portal de servicios en AWS Artifact https://aws.amazon.com/es/compliance/programs/ CSA Cloud Security Alliance Controls ISO 9001 Global Quality Standard ISO 27001 Security Management Controls ISO 27017 Cloud Specific Controls ISO 27018 Personal Data Protection PCS DSS Level 1 SOC 1 Audit Controls Report SOC 2 Security, Availability & Confidentiality Report SOC 3 General Controls Report C5 (Germany) Operational Security Attestation Cyber Essentials Plus (UK) Cyber Threat Protection ENS High (Spain) Spanish Gov Standards G-Cloud UK Gov Standards IT-Grundschutz (Germany) Baseline Protection Methodology 203 certificaciones y acreditaciones de seguridad y conformidad +2600 controles de seguridad auditados anualmente Programa de cumplimiento regulatorio global de AWS
  10. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    Realiza su parte del modelo eficientemente con automatizaciones • Pipelines de despliegue continuo • Despliegue de parches • Procesos probados a escala • Mínima intervención humana enfocada en la supervisión de los procesos automatizados • Los mas altos niveles en hardening • Auditoría La inversión en seguridad de AWS es mucho más grande que lo que la mayoría de los clientes pueden hacer individualmente
  11. © 2021, Amazon Web Services, Inc. or its Affiliates. Consejo

    Siempre que sea posible transfieran responsabilidades de seguridad a AWS eligiendo servicios abstractos o gestionados Usa servicios gestionados
  12. © 2021, Amazon Web Services, Inc. or its Affiliates. ¿Cuáles

    son los errores comunes en las responsabilidades del cliente ? Seguridad EN la nube El Cliente es responsable por la seguridad de sus cargas en la nube Cliente AWS
  13. © 2021, Amazon Web Services, Inc. or its Affiliates. Compromiso

    de credenciales ü No guardes secretos en Código ü Usa credenciales temporales ü Rota las contraseñas
  14. © 2021, Amazon Web Services, Inc. or its Affiliates. Consejo

    • Las Access Keys son: • Credenciales duraderas • Pueden ser usadas desde cualquier lugar (por defecto) • Factor único de autenticación (por defecto no incluyen MFA) Hardcodear Usa AWS IAM Instance Profiles • Si tu código necesita acceder a un recurso de AWS como un Bucket de S3, no embebas Access Keys en el código. Ø Si algún desarrollador las comparte en GitHub u otro repositorio público tendrán acceso a sus credenciales Ø Quien tenga acceso de lectura al código tendrá credenciales.
  15. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    IAM Instance Profiles: Controlando acceso a recursos Recursos AWS Tu código Sistema operativo Ejemplo EC2 Credenciales de AWS entregadas automáticamente y rotando periódicamente Detección y uso automáticos de credenciales de AWS Acceso controlado por políticas de IAM (roles) También funciona con AWS Lambda y Amazon ECS
  16. © 2021, Amazon Web Services, Inc. or its Affiliates. Consejo

    AWS Monitorea repositorios públicos en busca de credenciales, alerta a los usuarios y las bloquea Actualiza los contactos de seguridad
  17. © 2021, Amazon Web Services, Inc. or its Affiliates. Consejo

    • Si tu código necesita acceder a una base de datos (Ej: Amazon RDS) u otro recurso que requiera una contraseña o una key de un SaaS, no la embebas en el código Ø Si algún desarrollador las comparte en GitHub u otro repositorio público tendrán acceso a sus credenciales Ø Quien tenga acceso de lectura al código tendrá credenciales. Usa AWS Secrets Manager Ø Es necesario poder rotar las credenciales periódicamente, y poder rotarlas a demanda al momento de sospechar un compromiso sin afectar la disponibilidad de las aplicaciones. Hardcodear
  18. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    Secrets Manager: Características principales Rotación de credenciales Políticas de acceso refinadas Almacenamiento cifrado Integración extensible con AWS Lambda Registro y vigilancia Rotación con control de vesiones
  19. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    Secrets Manager: Arquitectura Recursos AWS Tu código IAM Rol Ejemplo EC2 Credenciales de AWS entregadas automáticamente Llamada autorizada a Secrets Manager Solución confiable y segura para rotación automática en TODAS las credenciales Credenciales DB Conexión establecida AWS Secrets Manager Amazon RDS
  20. © 2021, Amazon Web Services, Inc. or its Affiliates. Consejo

    • Prefiere el acceso a la consola de AWS o al AWS Cli usando servicios que otorgan credenciales temporales. Ø IAM users cuyas credenciales no se rotan, con el tiempo van incrementando su riesgo. Usa AWS SSO Nota: Si no tienes control de la cuenta de administración de una AWS Organizations, configura en IAM la federación de usuarios desde un Identity Provider (OpenID Connect o SAML)
  21. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    Single Sign-On AWS Organizations AWS SSO Portal de usuario de AWS SSO Directorio de AWS Servicio para Microsoft Active Directory Repositorio de identidades de SSO o IdP externo Beneficios • Portal de acceso a las múltiples cuentas y aplicaciones del usuario • Asignación central de permisos • Integrado a AWS Command Line Interface (AWS CLI) v2 • Servicio gratuito • Usted elige su fuente de identidad
  22. © 2021, Amazon Web Services, Inc. or its Affiliates. Errores

    de configuración ü Bloqueo de acceso público a los Buckets de Amazon S3 ü Descubrimiento y clasificación de datos sensibles (Amazon Macie) ü Detección de potenciales fugas de información (Amazon GuardDuty S3 Protection) ü Desvíos de configuración (AWS Config)
  23. © 2021, Amazon Web Services, Inc. or its Affiliates. Consejo

    Usa S3 Block Public Access • Si no requieres acceso público en ningún bucket en tu cuenta, mantenlo bloqueado a nivel cuenta. • Si no requieres acceso público en un bucket, mantenlo bloqueado. Ø Errores de configuración en políticas de bucket podrían exponer información sensible • Todas las nuevas cuentas vienen con el acceso publico bloqueado, y todos los nuevos buckets vienen con el acceso público bloqueado.
  24. © 2021, Amazon Web Services, Inc. or its Affiliates. Block

    Public Access – Activado por defecto
  25. © 2021, Amazon Web Services, Inc. or its Affiliates. Amazon

    Macie Seguridad y privacidad de datos escalable para Amazon S3 Monitorea los cambios en las políticas de buckets de Amazon S3 • Acceso público • Sin cifrar • Compartido fuera de la cuenta • Replicado en cuentas externas Ganar visibilidad y evaluación de políticas Ejecuta trabajos de descubrimiento de información sensible Descubre datos sensibles • .txt .json .xml .csv .tsv • .docx .xls .xlsx .pdf • Parquet, Avro • .tar .zip .gzip Formatos de archivo Tipos de datos • Financieros (tarjetas de crédito, número de cuenta bancaria, etc.) • Información Personal (nombre, dirección, datos de contacto, etc.) • Documentación Nacional (pasaporte, documento de identidad, licencia de conducir, etc.) • Datos Médicos • Credenciales y secretos • Personalizados (regex)
  26. © 2021, Amazon Web Services, Inc. or its Affiliates. Consejo

    Usa Amazon Macie • Encuentra donde tienes información sensible (PII, Card Data, Keys) • Revisa tu postura de seguridad en buckets Ø Ex-Empleados maliciosos podrían haber dejado permisos a entidades externas Ø Descubre si sigues compartiendo información a asociados de negocio con quienes ya terminó tu relación Ø Descubre si por error hay información pública que no debería estarlo • Detecta si estás cifrando acorde a tus políticas organizacionales.
  27. © 2021, Amazon Web Services, Inc. or its Affiliates. Detección

    de amenazas – Amazon GuardDuty VPC Flow Logs DNS Logs CloudTrail Events Hallazgos Fuentes de datos Threat intelligence Detección de anomalías (ML) Amazon Detective • Alerta • Remediación • Soluciones de socios tecnológicos • Envío al SIEM CloudWatch Event Tipos de Hallazgos Minería de Bitcoins Command & Control Conexiones anónimas Reconocimiento Comportamiento inusual del usuario Ejemplo: • Lanzamiento de instancias • Cambios en los permisos de red • Anomalías en el comportamiento de la Red • Patrones anómalos de acceso a los datos en Amazon S3 Amazon GuardDuty Tipos de detección ALTA MEDIA BAJA AWS Security Hub S3 Data Plane Events Reconocimiento Compromiso de Instancia Compromiso de Cuenta Importante: Toma Acciones
  28. © 2021, Amazon Web Services, Inc. or its Affiliates. Amazon

    GuardDuty: S3 Protection • Acceso desde: • Potenciales herramientas de ataque (Kali, Parrot, Pentoo) • IPs Maliciosas • IPs Anónimas (TOR) • Anomalías: • En el volumen de datos extraídos • En la cantidad de objetos eliminados • Cambios en Políticas para debilitarlas • Apagado de logs • Apertura de Buckets https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html
  29. © 2021, Amazon Web Services, Inc. or its Affiliates. Consejo

    Usa Amazon GuardDuty • Detecta intentos de acceso desde fuentes sospechosas • Detecta potenciales fugas de información • Detecta actividad inusual entre tus empleados en cuanto a debilitación de políticas • Detecta comportamientos anómalos (reconocimiento / fuerza bruta) y actúa • Se activa con un Click • No requiere Agentes • Inteligencia embebida • 30 días Free Trial
  30. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    Security Hub Chequeos automáticos de alineamiento a buenas prácticas
  31. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    Config – Detección y corrección de desvíos Inventario, monitoreo y notificación de cambios de configuración Gestión de Cambios Análisis de Auditoria Análisis de Seguridad Análisis de Problemas Inventario Cambio en recursos AWS Config Normalizado AWS Config rules Alertas Corrección de configuraciones Historial, snapshot
  32. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    Config: 180+ reglas administradas • Puertos abiertos (configurable, 22, 3389, 1433, etc) • IAM Policy • EBS sin cifrar • Uso de AMIs no aprobadas • MFA no habilitado • ElasticSearch fuera de VPCs
  33. © 2021, Amazon Web Services, Inc. or its Affiliates. Consejo

    Usa AWS Security Hub y AWS Config • Revisa el alineamiento de tus configuraciones con las buenas prácticas de seguridad Ø Empleados maliciosos o usuarios comprometidos podrían alterarlas. Ø Tu equipo de seguridad podría no tener el tiempo o skill para hacer assessments manuales. • Detecta configuraciones indeseables personalizadas con AWS Config Ø Un puerto 22 o 3389 abierto podría recibir ataques de fuerza bruta.
  34. © 2021, Amazon Web Services, Inc. or its Affiliates. Compromiso

    de Instancias ü Protege tus aplicaciones con WAF (en particular OS Command Injection) ü Uso de credenciales temporales ü Patching (AWS Systems Manager Patch Manager – EC2 Image Builder) ü Instance Metadata service (IMDS) v2
  35. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    WAF – Protección de capa 7 Amazon API Gateway Application Load Balancer Amazon CloudFront AWS WAF • WAF Elástico e integrado • Managed Rules provistas por AWS + Provistas por partners + Reglas personalizadas. • Pago por uso
  36. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    WAF con reglas gestionadas https://aws.amazon.com/blogs/aws/announcing-aws-managed-rules-for-aws-waf/ Reglas provistas por socios +
  37. © 2021, Amazon Web Services, Inc. or its Affiliates. ¿

    Dónde sigo aprendiendo de seguridad en AWS ?
  38. © 2021, Amazon Web Services, Inc. or its Affiliates. Siguientes

    Pasos https://maturitymodel.security.aws.dev • Entrenarse • Practicar https://awssecworkshops.com https://d1.awsstatic.com/training-and- certification/ramp-up- guides/RampUp_Security_04072020.pdf
  39. © 2021, Amazon Web Services, Inc. or its Affiliates. Para

    quienes prefieren la lectura • Guía con los contenidos para cubrir todos los temas de la certificación • Ejercicios prácticos • Preguntas de práctica para el examen • 100 Flashcards para memorizar
  40. © 2021, Amazon Web Services, Inc. or its Affiliates. ¡

    Gracias ! ¿ Preguntas ? Dario Goldfarb [email protected] https://www.linkedin.com/in/dariolucas/ @dario_goldfarb