Seguridad en la nube: defensa para activos digitales

Transcript

1. Seguridad en la nube: defensa para activos digitales José Manuel

   Ortega [email protected]

2. • Ingeniería en informática • Master ciberseguridad y ciencia de

   datos • Consultoría y docencia universitaria • https://josemanuelortegablog.com/ • https://www.linkedin.com/in/jmortega1

3. • https://scholar.google.es/citations?user=kAM9WrcAAAAJ&hl=es

4. Agenda • Introducción a la seguridad en la nube •

   Seguridad en arquitecturas serverless • Arquitecturas Zero Trust • Pentesting sobre aplicaciones en la nube • SIEM vs SOAR • Mejores prácticas de seguridad al trabajar en entornos cloud

5. Introducción a la seguridad en la nube https://aws.amazon.com/es/compliance/shared-responsibility-model

6. Seguridad en arquitecturas serverless • AWS: AWS Lambda a. https://aws.amazon.com/lambda

   • Microsoft Azure: Azure Functions a. https://azure.microsoft.com/en-us/services/functions • Google Cloud: Cloud Functions a. https://cloud.google.com/functions

7. Seguridad en arquitecturas serverless

8. Seguridad en arquitecturas serverless • Inyección de datos de eventos

   • Mayor superficie de ataque • Manipulación de la ejecución del flujo de funciones serverless • Denegación de servicio y agotamiento de recursos financieros • Manejo inadecuado de excepciones y mensajes de error

9. Ataques que se minimizan • Fuerza bruta • Ataques DDoS

10. Ataques DDoS • En Serverless, una función no puede recibir

    más de una invocación concurrente, por lo que nuevas llamadas levantarán nuevas instancias de funciones. • En esta situación un ataque DDoS podría provocar que se levantaran miles de instancias de una función agotando así todos los recursos de la infraestructura, pudiendo afectar incluso a otras funciones que no se puedan levantar debido a esto. • Es necesario por tanto que nuestro proveedor serverless nos permita definir el número máximo de peticiones concurrentes (o instancias en este caso) tanto de toda la plataforma como de cada una de las funciones.

11. Ataques DoW (Denial of Wallet) • Agotamiento de los recursos

    contratados • Funciones con alto nivel de concurrencia • Escalado automático en el uso de memoria y CPU

12. Ataques DDoS/DoW (Denial of Wallet) • Limitar el número de

    llamadas a funciones • Limitar el acceso a los recursos • Definir límite de presupuesto • Usar herramientas como AWS Shield a. https://aws.amazon.com/es/shield

13. Ataques DDoS/DoW (Denial of Wallet) https://aws.amazon.com/es/blogs/mt/introducing-service-quotas-view-and-manage-your-quotas-for-aws-ser vices-from-one-central-location

14. Ataques DDoS/DoW(Denial of Wallet)

15. Ataques DoW (Denial of Wallet)

16. Ataques DoW (Denial of Wallet)

17. OWASP Serverless Top 10 • SAS-1: Function Event Data Injection

    • SAS-2: Broken Authentication • SAS-3: Insecure Serverless Deployment Configuration • SAS-4: Over-Privileged Function Permissions and Roles • SAS-5: Inadequate Function Monitoring and Logging • SAS-6: Insecure 3rd Party Dependencies • SAS-7: Insecure Application Secrets Storage • SAS-8: Denial of Service and Financial Resource Exhaustion • SAS-9: Serverless Function Execution Flow Manipulation • SAS-10: Improper Exception Handling and Verbose Error Messages https://owasp.org/www-pdf-archive/OWASP-Top-10-Serverless-Interpretation-en.pdf

18. Seguridad en arquitecturas serverless Risk/Attack vector Cloud applications (IaaS, PaaS)

    Serverless Applications (FaaS) Data Injection Impact level:3 Impact:4, increases the level of impact as it increases the attack surface. Broken Authentication and Access Control Impact:4 Impact:3, it is more difficult for an attacker to exploit a serverless function in isolation. Security Misconfiguration and insecure Serverless Deployment Configuration Impact:3 Impact:3, same impact level

19. Seguridad en arquitecturas serverless Risk/Attack vector Cloud applications (IaaS, PaaS)

    Serverless Applications (FaaS) Security Misconfiguration and Over-Privileged Function Permissions and Roles Impact level:3 Impact:3, same impact level Security Logging and Monitoring Failures Impact:2 Impact:3, higher impact level Vulnerable and Outdated Components Impact:3 Impact:3, same impact level

20. Seguridad en arquitecturas serverless Risk/Attack vector Cloud applications (IaaS, PaaS)

    Serverless Applications (FaaS) Software and Data Integrity Failures. 3rd Party Dependencies Impact level:4 Impact:3, the impact is reduced since the functions have finite execution time. Denial of Service & Financial Resource Exhaustion Impact:3 Impact:4, higher impact level due to the presence of the Denial of Wallet Serverless Functions Execution Flow Manipulation Impact:1 Impact:3, greater impact level since it is a new problem in serverless architectures

21. Arquitecturas Zero Trust

22. Arquitecturas Zero Trust

23. Arquitecturas Zero Trust • Zero Trust es un paradigma de

    ciberseguridad centrado en la protección de los recursos y la premisa de que la confianza nunca se otorga implícitamente, sino que debe evaluarse continuamente. • El enfoque inicial debería estar en restringir los recursos para aquellos que necesitan acceder y otorgar sólo los privilegios mínimos necesarios para cumplir sus objetivos.

24. Arquitecturas Zero Trust • Uso de arquitecturas proxy • Proteger

    los datos mediante políticas granulares basadas en el contexto • Reducir el riesgo eliminando la superficie de ataque • Acciones de defensa y protección

25. Arquitecturas Zero Trust

26. Arquitecturas Zero Trust • Ninguna parte de la red es

    confiable. Debemos actuar como si el atacante estuviese siempre presente. • Nunca confiar en la conexión a la red. Cualquier conexión que se establezca es insegura. • Verificar explícitamente. Siempre hay que verificar, nunca confiar. • Privilegios mínimos. Restringir los recursos para aquellos únicamente que necesitan acceder. • Microsegmentación. Aplicar políticas dinámicas basadas en información de contexto. • Visibilidad. Es importante inspeccionar y evaluar continuamente los riesgos.

27. Arquitecturas Zero Trust

28. Arquitecturas Zero Trust

29. Arquitecturas Zero Trust

30. Arquitecturas Zero Trust

31. Uso de soluciones de IAM • Normalización de las identidades

    en la organización • Funcionalidades que garantizan unas políticas de contraseñas apropiadas • Ágil aprovisionamiento de usuarios • Privileged Session Management(PSM) • Monitorizar en tiempo real las sesiones de los usuarios • Si cualquier credencial se ve comprometida, se puede gestionar la revocación de secretos o sesiones

32. Uso de soluciones de IAM

33. Uso de soluciones de IAM • Gobernanza de identidades: gestiona

    el ciclo de vida de la cuenta de usuario, incluidos los derechos y su concesión. • Gestión de acceso: controla las políticas de acceso unificado a menudo con la activación de la conexión única (SSO) y la autenticación multifactor (MFA). • Servicios de directorio: gestión y sincronización de credenciales centralizadas y consolidadas. • Aprovisionamiento de usuarios: automatiza la creación y la asignación de nuevas cuentas de usuario. • Análisis de identidades: detecta y evita actividades de identidad sospechosas mediante el aprendizaje automático. • Conexión única (SSO): consolida la contraseña de usuario y las credenciales de una única cuenta con una activación de contraseña segura para simplificar el acceso a los servicios. • Autenticación multifactor (MFA): incrementa la autenticación con controles secundarios para garantizar la autenticidad de los usuarios y reducir la exposición a credenciales robadas. • Autenticación basada en riesgos: utiliza algoritmos para calcular los riesgos de las acciones de los usuarios. Bloquea y denuncia actividades calificadas de alto riesgo. • Administración y gobernanza de identidades (IGA): reduce el riesgo asociado a un acceso y privilegios excesivos mediante el control de derechos.

34. Estrategias de seguridad entornos cloud

35. Pentesting sobre aplicaciones cloud https://cloudcustodian.io

36. Pentesting sobre aplicaciones cloud https://cloudcustodian.io

37. Pentesting sobre aplicaciones cloud https://github.com/prowler-cloud/prowler • Prowler es una herramienta

    de seguridad de código abierto para realizar evaluaciones de las mejores prácticas de seguridad de AWS y Azure • Permite realizar auditorías, respuesta a incidentes, monitorización continua, hardening y gestionar la revocación de secretos.

38. Pentesting sobre aplicaciones cloud

39. Pentesting sobre aplicaciones cloud aws configure export AWS_ACCESS_KEY_ID="ASXXXXXXX" export AWS_SECRET_ACCESS_KEY="XXXXXXXXX"

    export AWS_SESSION_TOKEN="XXXXXXXXX" arn:aws:iam::aws:policy/SecurityAudit arn:aws:iam::aws:policy/job-function/ViewOnlyAccess

40. Pentesting sobre aplicaciones cloud

41. Pentesting sobre aplicaciones cloud

42. SIEM vs SOAR • SIEM: Centraliza logs de toda la

    infraestructura (AWS CloudTrail, Azure Monitor, logs de red). Su fuerte es la visibilidad y la correlación de eventos para hallar esa "aguja en el pajar". • SOAR: Toma la alerta del SIEM y ejecuta un Playbook automático. • Ejemplo: Si el SIEM detecta un login desde un a localización inusual, el SOAR bloquea automáticamente el usuario en IAM y revoca sus tokens en segundos.

43. SIEM vs SOAR • Detección de anomalías en tiempo real:

    El SIEM en la nube usa técnicas de Machine Learning para entender qué es "normal" y qué es un ataque (ej. un pico inusual de tráfico hacia un bucket de S3). • Auditar configuraciones: El uso de servicios nativos (como Microsoft Sentinel o Google Chronicle) permite auditar configuraciones erróneas en tiempo real, cerrando puertos abiertos accidentalmente. • Reducción del MTTR (Mean Time To Respond): La automatización del SOAR reduce el tiempo de respuesta de horas a milisegundos, limitando el "radio de explosión" de un ataque.

44. SIEM vs SOAR https://github.com/Shuffle/Shuffle https://n8n.io https://wazuh.com https://strangebee.com/thehive

45. Wazuh

46. Wazuh

47. Wazuh

48. Wazuh

49. Shuffle

50. Servicios nativos vs open source Criterio de Decisión Servicios nativos

    (Azure Sentinel, AWS Security Lake/GuardDuty) Soluciones Open Source (Wazuh + Shuffle/n8n) Tiempo de Despliegue 🚀 Muy Rápido (Casi "un clic"). ⏱ Lento/Medio (Requiere instalación y configuración de infraestructura). Costos de Operación (TCO) 📉 Bajos (El proveedor mantiene la plataforma). 📈 Altos (Requiere personal experto para mantener, actualizar y escalar servidores). Integración con la Nube 🧬 Nativa y Profunda (Soportada por el proveedor). 🧩 A través de APIs (Requiere configuración y mantenimiento manual). Retención de Datos ☁ Gestionada por el proveedor (costo adicional). 💽 Tú gestionas el almacenamiento y la política.

51. Principales servicios de seguridad en AWS

52. Principales servicios de seguridad en AWS

53. Principales servicios de seguridad en AWS https://maturitymodel.security.aws.dev/es

54. Mejores prácticas de seguridad

55. Mejores prácticas de seguridad • Funciones y permisos de IAM

    • Funciones y permisos específicos de Cloud Compose • Uso compartido restringido al dominio (DRS)

56. Conclusiones • Estrategia de empresa a largo plazo • Gestión

    centralizada de la seguridad • Solución centrada en la identidad del usuario

57. ¿Tu infraestructura está realmente segura? Vivimos en un entorno digital

    cada vez más distribuido y automatizado. Desde las APIs que conectan servicios hasta arquitecturas serverless que escalan sin esfuerzo, el desarrollo moderno se apoya en una nube tan poderosa como vulnerable. Y en este contexto, la ciberseguridad ya no es un extra: es un requisito estratégico. Asegurar estos entornos no significa volver al pasado, sino adaptar la defensa a nuevas reglas: gestión de identidades en la nube, protección de servicios efímeros, análisis de APIs expuestas o detección automatizada de amenazas. Quien entiende cómo blindar la infraestructura digital actual, entiende también el futuro de la seguridad.

58. 1. Introducción a la computación en la nube 2. Seguridad

    en la nube 3. Frameworks y metodologías cloud 4. Sistemas de gestión de accesos e identidades (IAM) 5. Servicios de seguridad en AWS 6. Seguridad en Google Cloud Platform (GCP) 7. Seguridad en Azure Cloud 8. Arquitecturas Zero Trust 9. Seguridad y auditorías en arquitecturas serverless 10. Seguridad y auditorias en API
59. None
60. None