Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Construyendo arquitecturas zero trust sobre entornos cloud

jmortegac
March 30, 2023
Technology
0
18

Construyendo arquitecturas zero trust sobre entornos cloud

La adopción de arquitecturas basadas en microservicios ha crecido de manera exponencial en los últimos años. Cuando se trata de obtener la máxima seguridad utilizamos lo que se denomina arquitecturas de “confianza cero” (zero trust architecture). Las arquitecturas de este tipo establecen mecanismos de autenticación y autorización entre nuestros propios microservicios, aumentando de esta manera la seguridad en entornos altamente regulados.
El objetivo de esta charla es dar a conocer los principios básicos para construir aplicaciones utilizando arquitecturas zero trust y algunas herramientas para realizar auditorías de seguridad en entornos cloud. Entre los puntos a tratar podemos destacar:
Introducción a DevSecOps y modelado de amenazas
Modelo de confianza cero(zero trust) en la nube
Mejoras prácticas a nivel de permisos y estrategias de seguridad al trabajar en entornos cloud
Herramientas de análisis orientadas al pentesting en entornos cloud

jmortegac

March 30, 2023
Tweet

More Decks by jmortegac

See All by jmortegac
Seguridad_en_arquitecturas_serverless_y_entornos_cloud.pdf
jmortega
0
45
Tips and tricks for data science projects with Python
jmortega
0
19
Sharing secret keys in Docker containers and K8s
jmortega
0
63
Implementing cert-manager in K8s
jmortega
0
93
Python para equipos de ciberseguridad(pycones)
jmortega
0
82
Python para equipos de ciberseguridad
jmortega
0
280
Shodan Tips and tricks. Automatiza y maximiza las búsquedas shodan
jmortega
1
460
ELK para analistas de seguridad y equipos Blue Team
jmortega
2
680
Monitoring and managing Containers using Open Source tools
jmortega
1
660

Other Decks in Technology

See All in Technology
食べログChatGPTプラグイン導入で見えてきた未来:データサイエンティストの向き合い方
moritama1515
PRO
2
380
AWS WAFおよびWafCharmを複数サービスに導入した結果と課題
iwamot
0
190
LLMの普及による機械学習の民主化とMLPdMの重要性 / democratization-of-ml-and-importance-of-mlpdm-by-llm
yuya4
2
2.3k
時系列データをChatGPTで読み解いてみる【IoT-Tech Meetup】
soracom
PRO
0
660
AI in Action
charmichokshi
0
170
モノリスからの脱却に向けた 物流システムリプレイスの概要紹介 / Towards Decentralized Logistics System Replacement from Monolithic Structure
yumayabe
0
240
「エンジニアリングで運用を改善する」ためのAmazon CloudWatch活用
mitsuaki96
1
700
KEDAで始めるイベント駆動システム #k8snovice / keda-tutorial
chmikata
1
130
データマイニングと機械学習-SVM
trycycle
0
140
Impressions of the Ruby Kaigi
suzukahr
1
5k
「Go Style Guide」から学んだ可読性の高いコードの書き方
andpad
4
1.5k
net/http/httptest.Server のアプローチをテスト戦略に活用する / Go Conference 2023
k1low
4
150

Featured

See All Featured
Raft: Consensus for Rubyists
vanstee
130
5.8k
Fontdeck: Realign not Redesign
paulrobertlloyd
74
4.5k
Keith and Marios Guide to Fast Websites
keithpitt
407
21k
What’s in a name? Adding method to the madness
productmarketing
PRO
14
2.1k
Art, The Web, and Tiny UX
lynnandtonic
285
18k
How To Stay Up To Date on Web Technology
chriscoyier
779
250k
Web development in the modern age
philhawksworth
197
9.7k
Typedesign – Prime Four
hannesfritz
34
1.6k
Designing on Purpose - Digital PM Summit 2013
jponch
108
6k
Optimizing for Happiness
mojombo
366
66k
Building Better People: How to give real-time feedback that sticks.
wjessup
346
18k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
0
1.4k

Transcript

  1. Construyendo
    arquitecturas zero trust
    sobre entornos cloud
    José Manuel Ortega Candel

    View Slide

  2. Agenda
    ● Introducción a DevSecOps y modelado de
    amenazas
    ● Modelo de confianza cero(zero trust) en la nube
    ● Mejoras prácticas a nivel de permisos y
    estrategias de seguridad al trabajar en entornos
    cloud
    ● Herramientas de análisis orientadas al pentesting
    en entornos cloud

    View Slide

  3. Introducción a DevSecOps

    View Slide

  4. Introducción a DevSecOps

    View Slide

  5. Introducción a DevSecOps
    https://www.cidersecurity.io/wp-content/uploads/2022/06/Top-10-CICD-Security-Risks-.pdf

    View Slide

  6. Introducción a DevSecOps
    ● CICD-SEC-1: Insufficient Flow Control Mechanisms
    ● CICD-SEC-2: Inadequate Identity and Access Management
    ● CICD-SEC-3: Dependency Chain Abuse
    ● CICD-SEC-4: Poisoned Pipeline Execution (PPE)
    ● CICD-SEC-5: Insufficient PBAC (Pipeline-Based Access Controls)
    ● CICD-SEC-6: Insufficient Credential Hygiene
    ● CICD-SEC-7: Insecure System Configuration
    ● CICD-SEC-8: Ungoverned Usage of 3rd Party Services
    ● CICD-SEC-9: Improper Artifact Integrity Validation
    ● CICD-SEC-10: Insufficient Logging and Visibility

    View Slide

  7. Modelado de amenazas

    View Slide

  8. Modelado de amenazas
    ● El beneficio inmediato y más importante de
    implementar el modelado de amenazas es
    identificar las amenazas que pueden
    aparecer a lo largo del proceso de diseño
    para que se puedan implementar las
    contramedidas adecuadas.

    View Slide

  9. Modelo de confianza cero en la nube

    View Slide

  10. Modelo de confianza cero en la nube

    View Slide

  11. Modelo de confianza cero en la nube
    ● Zero Trust es un paradigma de ciberseguridad centrado en la
    protección de los recursos y la premisa de que la confianza
    nunca se otorga implícitamente, sino que debe evaluarse
    continuamente.
    ● El enfoque inicial debería estar en restringir los recursos para
    aquellos que necesitan acceder y otorgar sólo los privilegios
    mínimos necesarios para cumplir sus objetivos.

    View Slide

  12. Modelo de confianza cero en la nube
    ● Desarrollo de aplicaciones
    ● Aprovisionamiento de infraestructura
    ● Conectividad de servicios
    ● Autenticación de personas

    View Slide

  13. Modelo de confianza cero en la nube
    ● ¿Qué están intentando proteger?
    ● ¿De quién intentan protegerlo?

    View Slide

  14. Modelo de confianza cero en la nube
    ● Uso de arquitecturas proxy
    ● Proteger los datos mediante políticas
    granulares basadas en el contexto
    ● Reducir el riesgo eliminando la
    superficie de ataque
    ● Acciones de defensa y protección

    View Slide

  15. Modelo de confianza cero en la nube

    View Slide

  16. Modelo de confianza cero en la nube
    ● Todas las entidades de una red
    suponen una amenaza
    ● Acceso a los recursos basado en
    autenticar y autorizar tanto el usuario
    como al host que va a acceder

    View Slide

  17. Modelo de confianza cero en la nube
    ● Ninguna parte de la red es confiable. Debemos actuar como si el
    atacante estuviese siempre presente.
    ● Nunca confiar en la conexión a la red. Cualquier conexión que se
    establezca es insegura.
    ● Verificar explícitamente. Siempre hay que verificar, nunca confiar.
    ● Privilegios mínimos. Restringir los recursos para aquellos
    únicamente que necesitan acceder.
    ● Microsegmentación. Aplicar políticas dinámicas basadas en
    información de contexto.
    ● Visibilidad. Es importante inspeccionar y evaluar continuamente los
    riesgos.

    View Slide

  18. Arquitecturas zero trust

    View Slide

  19. Arquitecturas zero trust

    View Slide

  20. Arquitecturas zero trust
    https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf

    View Slide

  21. Arquitecturas zero trust

    View Slide

  22. Arquitecturas zero trust

    View Slide

  23. Uso de soluciones de IAM
    ● Normalización de las identidades en
    la organización
    ● Funcionalidades que garantizan
    unas políticas de contraseñas
    apropiadas
    ● Ágil aprovisionamiento de usuarios
    ● Privileged Session
    Management(PSM)
    ● Monitorizar en tiempo real las
    sesiones de los usuarios
    ● Si cualquier credencial se ve
    comprometida, se puede gestionar
    la revocación de secretos o sesiones

    View Slide

  24. Uso de soluciones de IAM
    ● Gobernanza de identidades: gestiona el ciclo de vida de la cuenta de usuario, incluidos los derechos
    y su concesión.
    ● Gestión de acceso: controla las políticas de acceso unificado a menudo con la activación de la
    conexión única (SSO) y la autenticación multifactor (MFA).
    ● Servicios de directorio: gestión y sincronización de credenciales centralizadas y consolidadas.
    ● Aprovisionamiento de usuarios: automatiza la creación y la asignación de nuevas cuentas de
    usuario.
    ● Análisis de identidades: detecta y evita actividades de identidad sospechosas mediante el
    aprendizaje automático.
    ● Conexión única (SSO): consolida la contraseña de usuario y las credenciales de una única cuenta
    con una activación de contraseña segura para simplificar el acceso a los servicios.
    ● Autenticación multifactor (MFA): incrementa la autenticación con controles secundarios para
    garantizar la autenticidad de los usuarios y reducir la exposición a credenciales robadas.
    ● Autenticación basada en riesgos: utiliza algoritmos para calcular los riesgos de las acciones de los
    usuarios. Bloquea y denuncia actividades calificadas de alto riesgo.
    ● Administración y gobernanza de identidades (IGA): reduce el riesgo asociado a un acceso y
    privilegios excesivos mediante el control de derechos.

    View Slide

  25. Estrategias de seguridad entornos cloud

    View Slide

  26. Herramientas de análisis
    https://cloudcustodian.io

    View Slide

  27. Herramientas de análisis
    https://cloudcustodian.io

    View Slide

  28. Herramientas de análisis
    https://github.com/prowler-cloud/prowler
    ● Prowler es una herramienta de
    seguridad de código abierto para
    realizar evaluaciones de las mejores
    prácticas de seguridad de AWS y Azure
    ● Permite realizar auditorías, respuesta
    a incidentes, monitorización continua,
    hardening y gestionar la revocación de
    secretos.

    View Slide

  29. Herramientas de análisis

    View Slide

  30. Herramientas de análisis
    aws configure
    export AWS_ACCESS_KEY_ID="ASXXXXXXX"
    export AWS_SECRET_ACCESS_KEY="XXXXXXXXX"
    export AWS_SESSION_TOKEN="XXXXXXXXX"
    arn:aws:iam::aws:policy/SecurityAudit
    arn:aws:iam::aws:policy/job-function/ViewOnlyAccess

    View Slide

  31. Herramientas de análisis

    View Slide

  32. Herramientas de análisis

    View Slide

  33. Principales servicios de seguridad en AWS

    View Slide

  34. Principales servicios de seguridad en AWS

    View Slide

  35. Mejores prácticas de seguridad

    View Slide

  36. Mejores prácticas de seguridad
    ● Funciones y permisos de IAM
    ● Funciones y permisos específicos de Cloud
    Compose
    ● Uso compartido restringido al dominio (DRS)

    View Slide

  37. Conclusiones
    ● Estrategia de empresa a largo plazo
    ● Gestión centralizada de la seguridad
    ● Solución centrada en la identidad del usuario

    View Slide

  38. Conclusiones
    ● Zero Trust Container Security
    ● https://more.suse.com/zero-trust-security-for-dummies.html

    View Slide

  39. Conclusiones
    ● How to Enable Zero Trust Security for Your Data Center
    ● https://www.brighttalk.com/webcast/10903/235239

    View Slide

  40. ¡Gracias!
    @jmortegac
    https://www.linkedin.com
    /in/jmortega1
    https://jmortega.github.io
    ¿Preguntas?

    View Slide